Netwerkkaarten, videocamera's en grafische adapters zijn enkele van de subsystemen waarvan het gebrek aan beveiliging aanvallers in staat zou kunnen stellen er spionage-implantaten van te maken.
De software die fungeert als de interface tussen een computer en de verschillende hardwarecomponenten kan worden omgezet in een op spionage gericht implantaat, omdat de bedrijven die de componenten maken er vaak niet in slagen een veilig mechanisme te creëren om de code bij te werken, verklaarde Eclypsium in een analyse die vandaag is vrijgegeven. .
In zijn rapport ontdekte het firmwarebeveiligingsbedrijf dat grote kant-en-klare ontwerp- en fabricagebedrijven die componenten leveren - zoals wifi-adapters, USB-hubs, trackpads en camera's - hun firmware niet ondertekenden, waardoor de mogelijkheid ontstond dat een aanvaller zou kunnen vervang de hardwarecode door een kwaadaardige versie die kan worden gebruikt om het gecompromitteerde systeem te bespioneren en te controleren. Het bedrijf vond apparaten zonder ondertekende firmware op laptops van Lenovo, Dell en HP, evenals niet-ondertekende firmwarebestanden op een portaal waar computergebruikers updates kunnen downloaden.
De bevindingen zijn niet verrassend, zegt Jesse Michael, hoofdonderzoeker bij Eclypsium. Op een standaardlaptop of werkstation kunnen meer dan een dozijn verschillende apparaten firmware draaien en op een server meer dan 100.
"Als je een laptop of een server koopt van een groot bedrijf ... ze hebben allemaal verschillende leveranciers voor de componenten op een lager niveau, zoals de netwerkkaart of een webcam of een touchpad", zegt hij. "Terwijl de computerfabrikanten van het merk al een tijdje naar softwarebeveiliging kijken, hebben de kleinere bedrijven [die deze subsystemen maken] dat niet gedaan - de meeste apparaten in deze systemen hebben geen ondertekende updates."
Het onderzoek onderstreept dat ondanks het licht van de techniek af door het lekken van documenten van de National Security Agency door voormalig aannemer Edward Snowden, hebben maar weinig bedrijven een veilige toeleveringsketen gecreëerd om te bevestigen dat de firmware-updates officieel zijn. Hoewel veel softwaremakers de beveiliging van hun ontwikkelingscycli hebben verbeterd door certificaten voor codeondertekening te gebruiken om updates te authenticeren voordat ze worden toegepast, slagen de oorspronkelijke ontwerpfabrikanten (ODM) die subsystemen ontwerpen, programmeren en produceren voor computerfabrikanten vaak niet om soortgelijke stappen voor de software die fungeert als de interface tussen hardwaresubsystemen - zoals netwerkadapters, trackpads en camera's - en het hoofdcomputersysteem.
"Ondanks eerdere in-the-wild aanvallen, zijn fabrikanten van randapparatuur traag in de praktijk van het ondertekenen van firmware, waardoor miljoenen Windows- en Linux-systemen het risico lopen op firmware-aanvallen die gegevens kunnen exfiltreren, operaties kunnen verstoren en ransomware kunnen leveren", aldus het bedrijf vermeld in het rapport.
Het bedrijf ontdekte bijvoorbeeld dat Synaptics - dat trackpads levert voor veel laptops - de cryptografische handtekening niet verifieerde voordat een firmware-update werd toegepast, waardoor de onderzoekers willekeurige kwaadaardige code op een Lenovo-laptop konden uitvoeren, waardoor het subsysteem in een Trojaans paard veranderde.
In een andere proof-of-concept-aanval hebben de onderzoekers de firmware aangepast van een wifi-adapter die op een Dell-laptop draait. Windows 10 zal controleren of het stuurprogramma voor de netwerkadapter, een apparaat gemaakt door Killer Wireless, is ondertekend, en als dit niet het geval is, wordt het weergegeven zonder certificaatpictogram, maar blijft het de software laden en gebruikt het schadelijke firmware.
Het belangrijkste voordeel van het compromitteren van de firmware voor een aanvaller is dat een ondermijnd apparaat kan worden gebruikt om malware opnieuw te laden, als bijvoorbeeld een antivirusscanner de aanvallende code van de harde schijf detecteert en opschoont. "Je hebt een goede plek om door te zetten", zegt Michael. "Het is een goede plek om je in het systeem te verstoppen."
Toch kunnen specifieke apparaten de aanvaller ook andere voordelen bieden als ze worden gecompromitteerd. Met een netwerkadapter kan de indringer bijvoorbeeld communicatie vastleggen of heimelijk opdrachten verzenden en ontvangen. In een andere proof-of-concept-aanval hebben de onderzoekers de firmware bijgewerkt die wordt gebruikt door de Broadcom Baseboard Management Controller (BMC) van een server om onzichtbaar toegang te krijgen tot de netwerkcommunicatie van het systeem en een verborgen kanaal te creëren.
"Met behulp van deze benadering kunnen we de inhoud van BMC-netwerkpakketten inspecteren, die inhoud leveren aan malware die op de host draait, of zelfs het BMC-verkeer direct aanpassen", schreven de onderzoekers. “Dit kan ook worden gebruikt om waarschuwingen te blokkeren die van de BMC naar een centrale logboekserver worden gestuurd, ze selectief om te leiden naar een andere server, om verkeer naar een externe locatie te kopiëren en te verzenden voor analyse, en om uitgaande netwerkverbindingen te maken met een externe opdracht en controle server rechtstreeks vanaf de NIC zelf zonder dat de host of BMC zich ervan bewust is dat dit gebeurt. "
Omdat dergelijke wijzigingen onzichtbaar zijn voor het hostbesturingssysteem, zullen hostgebaseerde beveiligingsproducten een dergelijke inbreuk niet detecteren. Hoewel er producten zijn om firmwareveranderingen te detecteren, is de beste aanpak voor de industrie om extra druk uit te oefenen op hun leveranciers, de OEM's (Original Equipment Manufacturers), waardoor ze meer slagkracht krijgen bij de maker van de subsystemen, zegt Michael.
"De OEM's zijn tot op zekere hoogte overgeleverd aan de ODM's", zegt hij. “Individueel hebben ze maar een beperkte koopkracht. Door meer klanten en organisaties te laten weten dat er een probleem is, kunnen ze meer druk uitoefenen om dit probleem op te lossen. "
Gerelateerde inhoud:
Check out De rand, De nieuwe sectie van Dark Reading voor functies, bedreigingsgegevens en diepgaande perspectieven. Het topverhaal van vandaag: "8 dingen die gebruikers doen die beveiligingsprofielen ellendig maken. '
Veteraan-technologiejournalist van meer dan 20 jaar. Voormalig onderzoeksingenieur. Geschreven voor meer dan twee dozijn publicaties, waaronder CNET News.com, Dark Reading, MIT's Technology Review, Popular Science en Wired News. Vijf prijzen voor journalistiek, waaronder Beste Deadline ... Bekijk volledige bio
Meer inzichten
