Dell, HP и Lenovo признали, что периферия их ПК лишена средств проверки цифровой подписи
25/02/20
Многочисленные периферийные компоненты, задействованные в ноутбуках и серверах крупнейших производителей, используют программные прошивки, лишенные цифровой подписи.
Это открывает возможность для подмены программных оболочек и, соответственно, кибератак на основные устройства, утверждают эксперты компании Eclypsium.
Исследователи обнаружили неподписанные прошивки у адаптеров Wi-Fi, USB-разветвителей, трекпадов, встроенных веб-камер и других устройств, используемых в компьютерах Dell, HP, Lenovo и нескольких других производителей.
Тем самым уязвимыми оказываются миллионы устройств. Эти особенности уже эксплуатировались для проведения атак: например, шпионские платформы Equation Drug и GrayFish, созданные Equation Group, не позднее 2010 г. использовали средства подмены официальных прошивок поддельными. Equation Group считается детищем Агентства национальной безопасности США.
Эксперты Eclypsium установили, в частности, что тачпады и трекпады ноутбуков Lenovo Think PadX1 Carbon 6thGen лишены средств проверки криптографической подписи. Программные оболочки камеры HP Wide Vision FHD в гибридных ноутбуках HP Spectrex360 Convertible 13-apoxxx не проверяют аутентичность обновления прошивок (которые еще и распространяются в незашифрованном виде). Беспроводной адаптер Wi-Fi в Dell XPS 15 9560 принимает модифицированные прошивки без всяких проблем, несмотря на проверки цифровых подписей со стороны Windows 10. Прошивки USB-разветвителей VLI под Linux лишены цифровой подписи полностью.
По мнению экспертов Eclypsium, аналогичные проблемы могут распространяться на разработки и других производителей.
При этом в Lenovo признали, что в нынешнем поколении продуктов нет средств для исправления проблемы. В HP признали, что они работают над обновлением прошивок, и что в будущем камеры будут обязательно снабжены цифровыми подписями.
Что же касается Dell, то здесь разработчик аппаратной составляющей проблемного адаптера и драйвера, корпорация Qualcomm утверждает, что следить за наличием адекватной подписи драйвера и прошивок должна корпорация Microsoft, и что сам Qualcomm не планирует оснащать свои чипы средствами проверки.
В Microsoft, наоборот, кивают на Qualcomm: мол, это дело производителя чипов и драйверов к ним.
Между тем, в Eclypsium продемонстрировали успешную атаку на сервер, оснащенный платой сетевого интерфейса на базе чипсета BroadcomBCM5719. Эти платы используются в многочисленных серверах разных производителей. Их программные оболочки лишены цифровой подписи и при обновлении прошивок с текущего хоста их проверки не осуществляется. Специалистам удалось загрузить модифицированную ими версию программной прошивки в плату сетевого интерфейса (NIC) «в системе, где контроллер управления материнской платой (BMC) настроен на совместное использование NIC с хостом». В результате у экспертов появилась возможность анализировать содержимое сетевых пакетов, идущих через BMC. Вредоносное ПО может использовать те же возможности для слежки или подмены BMC-трафика в режиме реального времени.