Investigadores descubrieron múltiples firmware sin firmar en varios componentes del sistema, como adaptadores WiFi, concentradores USB, trackpads y cámaras utilizadas en Lenovo, Dell, HP y otros fabricantes importantes.
Las fallas existentes en estos componentes permitieron a los atacantes comprometer millones de sistemas Windows y Linux, y filtrar los datos, interrumpir la operación y también implantar el malware.
Una vez que los componentes del firmware están infectados, permitió a los atacantes implantar malware que permanece sin ser detectado por los controles de seguridad del software.
El problema principal en la falla es que muchos de los dispositivos periféricos no verifican que el firmware esté firmado correctamente con una clave pública / privada de alta calidad antes de ejecutar el código.
Significa que estos componentes de la lista anterior no tienen forma de validar que el firmware cargado por el dispositivo esté debidamente autenticado y confiable.
Puede aprovecharse del atacante y simplemente insertar una imagen de firmware maliciosa o vulnerable en la que el componente finalmente confió ciegamente y dejar que se ejecute en el dispositivo.
En los resultados, el firmware sin firmar en adaptadores wifi, concentradores USB, trackpads, cámaras para computadoras portátiles y tarjetas de interfaz de red proporciona múltiples vías para que los atacantes malintencionados comprometan las computadoras portátiles y los servidores.
Los investigadores explican el siguiente escenario muy simple y poderoso para un ataque:
- Un atacante obtiene acceso a un dispositivo a través de cualquier método, como malware entregado por correo electrónico o un sitio web malicioso, o un malvado ataque de mucama. Con privilegios básicos de usuario, el atacante / malware podría escribir firmware malicioso en un componente vulnerable.
- Si el componente no requiere que el firmware esté debidamente firmado, el componente carga y ejecuta el código del atacante.
- El atacante puede usar la funcionalidad y los privilegios únicos de ese componente para promover un ataque.
Por ejemplo, si el firmware malicioso se implanta en el adaptador de red, permite a los atacantes rastrear, copiar, redirigir o alterar el tráfico que conduce a una pérdida de datos, ataques intermedios y otros ataques.
Firmware inseguro en periféricos
Los investigadores de Eclypsium explican algunos de los firmware vulnerables en varias marcas de computadoras, como Lenovo, Dell y el adaptador USB.
Touchpad y TrackPoint Firmware en laptops Lenovo:
Los investigadores analizaron una computadora portátil Lenovo ThinkPad X1 Carbon 6th Gen que utilizaba el siguiente firmware.
- Firmware del panel táctil: pr2812761-tm3288-011-0808.img
- TrackPoint Firmware: PSGicsoft_RANKA_fv06.bin
Ambos firmware contienen un mecanismo de actualización inseguro, y no requiere ninguna verificación de firma criptográfica antes de aplicar la actualización del firmware.
Potencialmente permitió a los atacantes modificar las imágenes de firmware a través del software para ejecutar código malicioso arbitrario dentro de estos componentes.
Firmware de la cámara HP Wide Vision FHD en computadoras portátiles HP:
Una actualización de firmware distribuida por los componentes de HP no estaba cifrada y carecía de comprobaciones de autenticidad.
Además, este firmware no contiene ninguna forma de firma criptográfica u otra información de autenticidad.
“Los investigadores confirmaron esta vulnerabilidad al modificar los descriptores USB en un dispositivo que se actualizó con la herramienta. De particular interés, el actualizador de firmware SunplusIT puede actualizar con éxito un dispositivo incluso como usuario normal. Las actualizaciones de firmware deben requerir acceso de administrador “.
Adaptador WiFi en la computadora portátil Dell XPS:
Durante esta investigación, los expertos demuestran la falla que permite modificar el firmware del adaptador WiFi en una computadora portátil Dell XPS 15 9560 con Windows 10.
En esta imagen de arriba, la imagen de firmware para el adaptador WiFi está firmada correctamente por los controladores y también muestra el pequeño icono de certificado.
Una vez que los investigadores modificaron la imagen del firmware para el adaptador Wifi, el ícono del certificado desapareció.
Demostración :
Los investigadores probaron el firmware sin firmar en un chipset de tarjeta de interfaz de red (NIC), en el que específicamente se utilizó el chipset Broadcom BCM5719 en la NIC en esta demostración, y se usa comúnmente en servidores de generación actual de múltiples fabricantes.
En esta demostración, los investigadores interceptan el contenido de los paquetes de red de BMC, proporcionan esos contenidos al malware que se ejecuta en el host y también pudieron modificar el tráfico de BMC en línea.
Un ataque malicioso en una NIC puede tener un profundo impacto en el servidor, comprometiendo el sistema operativo de forma remota, proporcionando una puerta trasera remota, espiando y filtrando el tráfico de red en bruto y evitando los firewalls del sistema operativo para extraer datos o entregar ransomware.
Estas fallas críticas indican claramente que el firmware sin firmar puede conducir a la pérdida de datos, integridad y privacidad, y puede permitir a los atacantes obtener privilegios y esconderse de los controles de seguridad tradicionales.