Спецпроекты

Безопасность Техника Маркет

Dell, HP и Lenovo и признали, что периферия их ПК несет им долгосрочную угрозу

Программные оболочки адаптеров Wi-Fi, USB-разветвителей и другой периферии, используемой в огромном количестве ноутбуков и некоторых серверах лишены средств проверки цифровой подписи, что позволяет злоумышленникам подменять ее. Это открывает массу возможностей для компрометации оборудования и кражи данных.

Перепрошить незаметно

Многочисленные периферийные компоненты, задействованные в ноутбуках и серверах крупнейших производителей, используют программные прошивки, лишенные цифровой подписи. Это открывает возможность для подмены программных оболочек и, соответственно, кибератак на основные устройства, утверждают эксперты компании Eclypsium.

Исследователи обнаружили неподписанные прошивки у адаптеров Wi-Fi, USB-разветвителей, трекпадов, встроенных веб-камер и других устройств, используемых в компьютерах Dell, HP, Lenovo и нескольких других производителей.

Тем самым уязвимыми оказываются миллионы устройств. Эти особенности уже эксплуатировались для проведения атак: например, шпионские платформы Equation Drug и GrayFish, созданные Equation Group, не позднее 2010 г. использовали средства подмены официальных прошивок поддельными. Equation Group считается детищем Агентства национальной безопасности США.

haker600.jpg
Прошивки периферийных компонентов полны неисправимых ошибок

Эксперты Eclypsium установили, в частности, что тачпады и трекпады ноутбуков Lenovo Think PadX1 Carbon 6thGen лишены средств проверки криптографической подписи. Программные оболочки камеры HP Wide Vision FHD в гибридных ноутбуках HP Spectrex360 Convertible 13-apoxxx не проверяют аутентичность обновления прошивок (которые еще и распространяются в незашифрованном виде). Беспроводной адаптер Wi-Fi в Dell XPS 15 9560 принимает модифицированные прошивки без всяких проблем, несмотря на проверки цифровых подписей со стороны Windows 10. Прошивки USB-разветвителей VLI под Linux лишены цифровой подписи полностью.

По мнению экспертов Eclypsium, аналогичные проблемы могут распространяться на разработки и других производителей.

Кто виноват, и ничего не сделать

При этом в Lenovo признали, что в нынешнем поколении продуктов нет средств для исправления проблемы. В HP признали, что они работают над обновлением прошивок, и что в будущем камеры будут обязательно снабжены цифровыми подписями.

Что же касается Dell, то здесь разработчик аппаратной составляющей проблемного адаптера и драйвера, корпорация Qualcomm утверждает, что следить за наличием адекватной подписи драйвера и прошивок должна корпорация Microsoft, и что сам Qualcomm не планирует оснащать свои чипы средствами проверки.

В Microsoft, наоборот, кивают на Qualcomm: мол, это дело производителя чипов и драйверов к ним.

Между тем, в Eclypsium продемонстрировали успешную атаку на сервер, оснащенный платой сетевого интерфейса на базе чипсета BroadcomBCM5719. Эти платы используются в многочисленных серверах разных производителей. Их программные оболочки лишены цифровой подписи и при обновлении прошивок с текущего хоста их проверки не осуществляется. Специалистам удалось загрузить модифицированную ими версию программной прошивки в плату сетевого интерфейса (NIC) «в системе, где контроллер управления материнской платой (BMC) настроен на совместное использование NIC с хостом». В результате у экспертов появилась возможность анализировать содержимое сетевых пакетов, идущих через BMC. Вредоносное ПО может использовать те же возможности для слежки или подмены BMC-трафика в режиме реального времени.

«Этим можно воспользоваться для блокировки сигналов тревоги, отосланных с BMC на центральный сервер авторизации; избирательно перенаправлять их на другой сервер, копировать и посылать трафик на удаленные ресурсы для анализа, а также перенаправить исходящие соединения с NIC на удаленный контрольный сервер в обход хоста и BMC и без их ведома», — говорится в публикации Eclypsium. Эксперты отмечают также, что поскольку NIC — это PCI-устройство, злоумышленники могут организовать DMA-атаки, то есть, получать доступ к содержанию памяти напрямую, в обход процессора и операционной системы. Это может привести к полной компрометации сервера.

Исправлению не подлежит

В отличие от macOS, где все установочные пакеты и прошивки проверяются при каждой загрузке, Windows и Linux проверяют цифровые подписи только после того как производится первичная установка прошивок и драйверов. Эксперты Eclypsiumотмечают, что если у аппаратного компонента изначально нет функций проверки цифровой подписи, обновления прошивки не поможет, и устройство останется уязвимым весь срок службы.

«Уязвимости в прошивках — масштабная проблема, на которую обращают куда меньше внимания, чем на баги в более традиционном ПО или в сетевых протоколах, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Между тем именно из-за этого, а также из-за колоссальной распространенности таких компонентов и сложности, а то и невозможности внести исправления, эта проблема оказывается намного опаснее. Защититься можно только косвенными средствами, например, наладив жесткий контроль над любым трафиком и максимально затруднив злоумышленникам эксплуатацию этих уязвимостей».

Роман Георгиев

Короткая ссылка