Serveur d'impression

Des millions de systèmes Windows et Linux sont vulnérables à cette cyberattaque «cachée» – Bien choisir son serveur d impression

Le 26 mars 2020 - 10 minutes de lecture

Les vulnérabilités cachées figurent parmi les recherches les plus précieuses et les plus récentes révèlent à quel point elles peuvent être faciles à exploiter

Et si je vous disais qu'il existe un risque de sécurité exploitable qui se cache à la vue et qui pourrait entraîner la compromission de votre machine Linux ou Windows? Et si je vous disais que le vecteur d'attaque est exploité depuis 2015 et que les vendeurs et les attaquants en sont bien conscients? De nouvelles recherches ont révélé comment les micrologiciels non signés des caméras, des cartes d'interface réseau, des trackpads, des concentrateurs USB et des adaptateurs Wi-Fi exposent des millions de systèmes au vol de données et aux attaques de ransomwares. Des chercheurs d'Eclypsium ont découvert, à travers quatre études distinctes, des micrologiciels non signés dans les périphériques de machines de fabricants tels que Dell, HP et Lenovo qui laissaient les utilisateurs ouverts aux attaques.

Les vulnérabilités cachées sont parmi les plus précieuses et les plus dangereuses

Les vulnérabilités qui peuvent être cachées à l'abri des regards sont parmi les plus convoitées par les cybercriminels et les fantômes. C'est pourquoi les vulnérabilités zero-day sont jugées si précieuses et suscitent tant de préoccupations de haut niveau lorsqu'elles sont exposées. C'est aussi pourquoi la CIA a secrètement acheté un fournisseur d'équipement de chiffrement pour pouvoir cacher des portes dérobées dans les produits et espionner plus de 100 gouvernements.

Bien que nous soyons presque habitués à lire les avertissements du gouvernement sur les vulnérabilités du système d'exploitation Windows, les avertissements de menace de cybersécurité Linux sont moins courants. C'est en partie pourquoi ce rapport sur la menace d'exploit caché dans les systèmes Linux et Windows a attiré mon attention. Les chercheurs d'Eclypsium se sont concentrés sur les micrologiciels non signés, car il s'agit d'un vecteur d'attaque connu, qui peut avoir des implications dévastatrices, mais dans lequel les fournisseurs semblent lents à prendre suffisamment au sérieux. Le micrologiciel non signé en question a été trouvé dans les périphériques utilisés dans les ordinateurs de Dell, Lenovo et HP ainsi que d'autres grands fabricants. Ils ont également démontré une attaque réussie en utilisant une carte d'interface réseau avec, vous l'aurez deviné, un micrologiciel non signé utilisé par les trois grands fabricants de serveurs. "Malgré les attaques inattendues précédentes", selon le rapport, "les fabricants de périphériques ont mis du temps à adopter la pratique de la signature du micrologiciel, laissant des millions de systèmes Windows et Linux à risque d'attaques de micrologiciel qui peuvent exfiltrer les données, perturber les opérations et livrer ransomware. "

La vérité est que, en ce qui concerne la cybersécurité, une grande partie de l'effort défensif est concentré sur le système d'exploitation et les applications. Rien d'étonnant, étant donné que ce sont les surfaces d'attaque les plus visibles. Cependant, en n'ajoutant pas de micrologiciel dans le modèle de prévention des menaces, les organisations laissent un trou béant attendant d'être comblé par les acteurs des menaces. «Cela pourrait entraîner des portes dérobées implantées, un reniflement du trafic réseau, une exfiltration de données, etc.», explique Katie Teitler, analyste principale chez TAG Cyber. "Malheureusement, les vulnérabilités du micrologiciel peuvent être plus difficiles à détecter et plus difficiles à corriger", dit-elle, "la meilleure pratique consiste à déployer une analyse automatisée des vulnérabilités et des erreurs de configuration au niveau des composants, et à surveiller en permanence les nouveaux problèmes ou exploits."

Voici ce que les chercheurs d'Eclypsium ont trouvé et où.

Pavé tactile et pavé tactile Lenovo ThinkPad

En analysant un ordinateur portable Lenovo ThinkPad X1 Carbon de 6e génération, les chercheurs ont trouvé un problème avec le firmware du touchpad et du trackpad. Il aurait pu facilement s'agir d'un autre modèle d'ordinateur portable Lenovo ou d'un autre fournisseur. Dans ce cas, le problème venait du pavé tactile Synaptics et de TrackPoint. Ils ont constaté que ceux-ci utilisaient un mécanisme de mise à jour du micrologiciel non sécurisé, par lequel la vérification de la signature cryptographique n'était pas requise au niveau de l'appareil. "Ce manque de contrôle a permis de modifier les images du firmware via un logiciel", indique le rapport, "pour exécuter un code malveillant arbitraire au sein de ces composants".

Un porte-parole de Lenovo m'a dit que "le rapport aborde un défi bien connu à l'échelle de l'industrie provenant de la plupart des périphériques ayant des capacités de stockage et / ou de calcul limitées. Les périphériques Lenovo effectuent la validation de la signature du micrologiciel sur le périphérique lorsque cela est techniquement possible. Lenovo est activement encourager ses fournisseurs à mettre en œuvre la même approche et travaille en étroite collaboration avec eux pour aider à résoudre le problème. "

Stephen Schultis, vice-président de la division PC chez Synaptics, déclare que «les pavés tactiles de Synaptics sont des appareils finaux et que notre micrologiciel est propriétaire, contenant des éléments qui rendraient la création d'un exploit difficile. Dans le cas peu probable où une mise à jour du micrologiciel non signée a réussi exploités, nous pensons que l'impact se limiterait à désactiver le dispositif Synaptics. Aucun exploit de ce type ne nous est connu pour le moment. "

Caméras HP à vision large dans le Spectre x360

Ensuite, il y a eu les mises à jour du micrologiciel de la caméra HP Wide-Vision FHD que les chercheurs ont testées dans un ordinateur portable convertible HP Spectre x360 13 ". Ils ont découvert que la mise à jour du micrologiciel n'était pas chiffrée et qu'il manquait des vérifications d'authenticité. De plus, le Windows- le micrologiciel basé sur la base de données pourrait également être modifié à l'aide d'un outil fourni par HP. J'ai demandé à HP une déclaration concernant les résultats, mais je n'avais pas eu de réponse au moment de la publication. Le rapport Eclypsium a déclaré que "HP a indiqué qu'ils travaillaient sur une mise à jour du micrologiciel et que les générations de caméras à venir auront signé le firmware des futurs modèles. "

Adaptateur sans fil Dell XPS 15 9560

Ensuite, il y a l'ordinateur portable Dell XPS 15 "9560 avec un adaptateur sans fil Killer à l'intérieur, un adaptateur dont le firmware lors de l'exécution de Windows 10 pourrait être modifié de manière potentiellement malveillante. Le chipset et les pilotes de l'adaptateur sont fournis par Qualcomm. Eclypsium a déclaré que Qualcomm a répondu à la divulgation de la recherche selon laquelle le chipset est "subordonné au processeur" et "le logiciel fonctionnant sur le CPU devrait prendre la responsabilité de valider le firmware." J'ai contacté Qualcomm pour une déclaration, mais au-delà de la confirmation qu'un ingénieur Qualcomm avait confirmé les informations dans le rapport n'avait rien à ajouter pour le moment. Cependant, d'autres ingénieurs de l'industrie ont également suggéré que, comme ces chipsets sont des périphériques par rapport au processeur du processeur hôte par conception, l'authentification du micrologiciel est "censée" être gérée par le processeur hôte. J'ai atteint à Dell, et un porte-parole m'a dit que "nous travaillons maintenant avec notre fournisseur pour comprendre l'impact et communiquerons toutes les mises à jour de sécurité nécessaires ou atténuations à mesure qu'elles deviennent disponibles. Un porte-parole de Microsoft a déclaré que "les développeurs de pilotes sont responsables des tests pour garantir la qualité et la sécurité de leurs pilotes", ajoutant "Microsoft travaille en collaboration avec des partenaires en mettant l'accent sur la sécurité, la compatibilité, l'interopérabilité et la fiabilité".

Comme le rapport Eclypsium l'a indiqué, cela crée donc une question de savoir où devrait se situer la responsabilité réelle lorsqu'il s'agit de faire appliquer l'utilisation de pilotes et de micrologiciels valides et signés. "Étant donné qu'un attaquant privilégié pourrait facilement remplacer les fichiers du pilote et contourner les vérifications hypothétiques", selon le rapport, "le pilote semble être un mauvais candidat".

Concentrateurs USB Linux et chipsets de cartes d'interface réseau Broadcom

Les chercheurs ont également examiné le Linux Vendor Firmware Service, un portail qui permet aux fournisseurs de télécharger les mises à jour du micrologiciel. Ils ont constaté que certains des protocoles sont liés au processus plutôt qu'au transport et ont découvert le micrologiciel du hub USB non signé. Enfin, Eclypsium a attaqué le micrologiciel non signé d'un chipset de carte d'interface réseau (NIC) utilisé dans de nombreux serveurs de génération actuelle. Le chipset Broadcom BCM5719 est, selon les chercheurs, "connu pour ne pas effectuer de vérification de signature sur le firmware téléchargé depuis l'hôte". Parce que la carte est connectée à un bus PCI, cela pourrait permettre une attaque d'exploit d'accès direct à la mémoire, entraînant le contrôle complet du serveur, indique le rapport. Une vidéo de l'exploit NIC a été publiée pour être consultée en ligne. Broadcomm n'avait pas répondu à ma demande de déclaration au moment de la publication.

Conseils d'atténuation des attaques à l'eclypsium

Il est important de noter que le micrologiciel non signé est un problème à l'échelle de l'industrie, et ces fournisseurs et produits n'étaient qu'un échantillon représentatif d'une surface d'attaque beaucoup plus grande. Rick Altherr, ingénieur principal chez Eclypsium, dit qu'il n'y a pas d'outils de sécurité qui aideront les consommateurs à trouver et à résoudre les problèmes de micrologiciel non signés. «Les consommateurs devraient commencer par suivre les meilleures pratiques de base en matière de cybersécurité telles que la recherche de virus, les mises à jour logicielles, etc.», dit-il, «bien que cela ne vous protège pas contre un attaquant déterminé qui utilise un micrologiciel non signé pour compromettre votre système, la plupart des consommateurs ne sont pas les cible pour ce type d'attaque. Si vous travaillez pour une grande entreprise avec des données sensibles ou une infrastructure à protéger, parlez-en à votre équipe de sécurité. "

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.