Komoly sebezhetőségek rejtőznek rengeteg eszközillesztőben

A hardverekre vonatkozó sebezhetőségeken már meg sem lepődik az ember, hiszen bármennyire is nagyot robbant anno a Spectre és a Meltdown, manapság már a többség szívverése egyáltalán nem gyorsul egy újabb spekulatív végrehajtást kihasználó biztonsági rés bejelentésénél. Az Eclypsium azonban egy olyan területet boncolgat, amely a hardveres sebezhetőségekhez hasonló veszélyeket rejt, azzal a különbséggel persze, hogy ezeket igen jól lehet javítani sebességvesztés nélkül is.

Az Eclypsium friss beszámolója szerint – amelyről a DEF CON előadást is tartottak – az eszközillesztőben komoly sebezhetőségek rejtőznek, amelyekkel a támadók ring 3-nál, vagyis az adminisztrátor szintjénél is magasabb jogokat szerezhetnek, akár ring 0 szintig is le lehet jutni. Utóbbi gyakorlatilag a kernel szintje, ahova a gyártók képesek meghajtókat telepíteni.

A legfőbb biztonsági tényező az lenne, hogy a legelterjedtebb operációs rendszer fejlesztője, vagyis a Microsoft lehetővé tegyen egy olyan biztonsági követelményt, amely gyakorlatilag kivédi a sebezhető meghajtók telepíthetőségét. Tulajdonképpen erre van az egyes csomagok aláírása, amit biztosíthat a gyártó, vagy akár a Microsoft is (WHQL), illetve Windows 10 mellett még extra kiterjesztett hitelesítés is van. Elméletben mindennek klappolnia kellene, hiszen a Microsoftnak konkrét előírása van a biztonság érdekében, de a gyakorlatban lesújtó a helyzet.


[+]

Az Eclypsium a kutatása minimum 20 ismert céget talált, amelyek sebezhető meghajtókat kínáltak a hardvereikhez, és ami a legérdekesebb, hogy ezek akár Microsoft hitelesítéssel is rendelkeztek, vagyis a felhasználó joggal hihetné, hogy ezek biztonságosak. Ugyanakkor a vizsgált és sebezhető eszközillesztőkön, különböző támadási módokkal, felhasználói módból lehet magasabb jogosultsági szinteket szerezni. Tehát tulajdonképpen egy malware képes szkennelni az adott gépet sebezhető meghajtók után kutatva, és megtalálva a réseket, azokat ki tudja használni, akár adatlopásra, akár az érintett hardver firmware-jének módosítására is. Utóbbi eléggé veszélyes, mert gyakorlatilag az operációs rendszer újratelepítésével sem szűnik meg a probléma, hiszen az ártó szándékú kód már beírta magát a hardver firmware-jébe.

Az Eclypsium szerint az érintett cégek között van az ASRock, az ASUS, az ATI (AMD), a Biostar, az EVGA, a Getac, a Gigabyte, a Huawei, az Insyde, az Intel, az MSI, az NVIDIA, a Phoenix Technologies, a Realtek, a SuperMicro, illetve a Toshiba, de még többen is, csak bizonyos vállalatokat nem lepleztek le, mivel szabályozott környezettben tovább tart a javítás biztosítása, így nem lenne célszerű a támadók tudtára hozni, hogy mely rendszerek lehetnek sebezhetők. Az érintettek azonban megkapták az adatokat, így dolgoznak is a javításokon.

Azóta történt