Las vulnerabilidades ocultas se encuentran entre las investigaciones más valiosas y recientemente publicadas que revelan lo fácil que puede ser explotar
¿Qué pasaría si le dijera que existe un riesgo de seguridad explotable que se esconde a la vista y que podría poner en peligro su máquina Linux o Windows? ¿Qué pasa si te digo que el vector de ataque ha sido explotado desde 2015 y que tanto los vendedores como los atacantes lo saben? Una nueva investigación ha revelado cómo el firmware sin firmar en cámaras portátiles, tarjetas de interfaz de red, trackpads, concentradores USB y adaptadores Wi-Fi está dejando a millones de sistemas expuestos al robo de datos y al ataque de ransomware. Investigadores de Eclypsium encontraron, en cuatro estudios separados, firmware sin firmar en los periféricos de máquinas de fabricantes como Dell, HP y Lenovo que dejaron a los usuarios abiertos a los ataques.
Las vulnerabilidades ocultas se encuentran entre las más valiosas y peligrosas.
Las vulnerabilidades que pueden ocultarse fuera de la vista se encuentran entre las más codiciadas por los ciberdelincuentes y los fantasmas por igual. Es por eso que las vulnerabilidades de día cero se consideran tan valiosas y causan tanta preocupación de alto nivel cuando están expuestas. También es la razón por la cual la CIA compró en secreto un proveedor de equipos de cifrado para poder ocultar puertas traseras en los productos y espiar a más de 100 gobiernos.
Si bien estamos casi acostumbrados a leer las advertencias del gobierno sobre las vulnerabilidades en el sistema operativo Windows , las advertencias de amenazas de ciberseguridad de Linux son menos comunes.
Lo cual es en parte por qué este informe sobre la amenaza de explotación oculta en los sistemas Linux y Windowsatrajo mi atencion. Los investigadores de Eclypsium se concentraron en el firmware sin firmar, ya que este es un vector de ataque conocido, que puede tener implicaciones devastadoras, sin embargo, uno en el que los proveedores han tardado en tomarse lo suficientemente en serio.
El firmware no firmado en cuestión se encontró en periféricos utilizados en computadoras de Dell, Lenovo y HP, así como en otros fabricantes importantes. También demostraron un ataque exitoso utilizando una tarjeta de interfaz de red con, lo adivinaron, firmware sin firmar que utilizan los tres grandes fabricantes de servidores. "A pesar de los ataques anteriores", dijo el informe, "los fabricantes de periféricos han tardado en adoptar la práctica de firmar firmware, dejando a millones de sistemas Windows y Linux en riesgo de ataques de firmware que pueden filtrar datos, interrumpir las operaciones y entregar Secuestro de datos."
La verdad es que, en lo que respecta a la ciberseguridad, gran parte del esfuerzo defensivo se centra en el sistema operativo y las aplicaciones. Apenas sorprendente, dado que estas son las superficies de ataque más visibles. Sin embargo, al no agregar firmware al modelo de prevención de amenazas, las organizaciones están dejando un vacío enorme a la espera de ser llenados por actores de amenazas. "Esto podría conducir a puertas traseras implantadas, rastreo de tráfico de red, exfiltración de datos y más", dice Katie Teitler, analista senior de TAG Cyber. "Desafortunadamente, sin embargo, las vulnerabilidades de firmware pueden ser más difíciles de detectar y más difíciles de parchar", dice, "la mejor práctica es implementar el escaneo automatizado para detectar vulnerabilidades y configuraciones erróneas a nivel de componentes, y monitorear continuamente nuevos problemas o exploits".
Panel táctil y panel táctil Lenovo ThinkPad
Al analizar una computadora portátil Lenovo ThinkPad X1 Carbon 6th Gen, los investigadores encontraron un problema con el firmware del panel táctil y el panel táctil. Podría haber sido otro modelo de computadora portátil Lenovo u otro proveedor para el caso. En este caso, el problema fue con el panel táctil fabricado por Synaptics y TrackPoint. Descubrieron que utilizaban un mecanismo de actualización de firmware inseguro, por el cual no se requería la verificación de firma criptográfica a nivel de dispositivo. "Esta falta de control permitió modificar las imágenes de firmware a través del software", decía el informe, "para ejecutar código malicioso arbitrario dentro de estos componentes".
Un portavoz de Lenovo me dijo que "El informe aborda un desafío conocido en toda la industria derivado de la mayoría de los dispositivos periféricos que tienen capacidades limitadas de almacenamiento y / o computación. Los dispositivos Lenovo realizan la validación de la firma del firmware del dispositivo periférico donde es técnicamente posible. Lenovo está activamente activo alentando a sus proveedores a implementar el mismo enfoque y está trabajando estrechamente con ellos para ayudar a abordar el problema ".
Stephen Schultis, vicepresidente de la División de PC de Synaptics, dice que "los TouchPads de Synaptics son dispositivos finales y nuestro firmware es propietario, y contiene elementos que dificultarían la creación de un exploit. En el improbable caso de que una actualización de firmware no firmada fuera exitosa explotados, creemos que el impacto se limitaría a deshabilitar el dispositivo Synaptics. No conocemos ese exploit en este momento ".
Cámaras HP de visión amplia en el Spectre x360
Luego, hubo actualizaciones de firmware para la cámara HP Wide-Vision FHD que los investigadores probaron en una computadora portátil convertible HP Spectre x360 13 ". Descubrieron que la actualización del firmware no estaba encriptada y carecía de controles de autenticidad. Además, Windows- el firmware basado también podría modificarse utilizando una herramienta provista por HP. Le pedí a HP una declaración con respecto a los hallazgos pero no había recibido respuesta al momento de la publicación. El informe de Eclypsium dijo que "HP ha indicado que están trabajando en una actualización de firmware y que las próximas generaciones de cámaras tendrán firmware firmado en modelos futuros ".
Adaptador inalámbrico Dell XPS 15 9560
Para ser manejado por la CPU del host. Me puse en contacto con Dell, y un portavoz me dijo que "ahora estamos trabajando con nuestro proveedor para comprender el impacto ycomunicará las actualizaciones o mitigaciones de seguridad necesarias a medida que estén disponibles. Un portavoz de Microsoft dice que "los desarrolladores de controladores son responsables de las pruebas para garantizar la calidad y la seguridad de sus controladores", y agrega que "Microsoft trabaja en colaboración con socios con un enfoque en garantizar la seguridad, compatibilidad, interoperabilidad y confiabilidad".
Como se indicó en el informe de Eclypsium, esto crea, entonces, una cuestión de dónde debe estar la responsabilidad real cuando se trata de hacer cumplir el uso de controladores y firmware válidos, firmados. "Dado que un atacante privilegiado podría reemplazar fácilmente los archivos del controlador y omitir cualquier comprobación hipotética", dice el informe, "el controlador parece un candidato pobre".
Concentradores USB de Linux y conjuntos de chips de tarjeta de interfaz de red Broadcom
Los investigadores también analizaron el Servicio de firmware de proveedores de Linux, un portal que permite a los proveedores cargar actualizaciones de firmware. Descubrieron que algunos de los protocolos están relacionados con el proceso y no con el transporte, y descubrieron el firmware del concentrador USB sin firmar. Finalmente, Eclypsium atacó el firmware sin firmar en un chipset de tarjeta de interfaz de red (NIC) que se utiliza en muchos servidores de la generación actual. El conjunto de chips Broadcom BCM5719 es, según los investigadores, "conocido por no realizar la verificación de firma en el firmware cargado desde el host". Debido a que la tarjeta está conectada a un bus PCI, esto podría permitir un ataque de acceso directo a la memoria, lo que daría como resultado el control completo del servidor, según el informe. Un video del exploit NICha sido publicado para ver en línea. Broadcomm no había respondido a mi solicitud de declaración en el momento de la publicación.
Fecha actualización el 2021-02-18. Fecha publicación el 2020-02-18. Categoría: windows 10 Autor: Oscar olg Mapa del sitio Fuente: techrepublic Version movil