多达4000万台戴尔设备容易受到有针对性的MitM攻击。戴尔建议更新BIOS/UEFI。
这些漏洞是由Eclypsium的研究人员发现的,Eclypsium是一家专门从事硬件和固件安全的公司,该发现将在今年8月的DEF CON安全会议上全面披露。
戴尔已经开始为受影响的型号发布BIOS/UEFI更新。建议每个人使用替代的固件更新方法部署这些更新。
受影响的BIOSConnect
BIOSConnect是戴尔计算机低级别固件统一可扩展固件接口(UEFI)中的一个功能,它允许用户从操作系统外部通过互联网执行恢复操作和固件更新。用户还可以通过SupportAssist安装UEFI更新。SupportAssist是戴尔的支持软件,默认安装在Windows电脑上,还可以监控设备健康状况,为各种组件提供操作系统驱动程序更新,并帮助用户解决问题。
戴尔电脑还在其硬盘驱动器上附带了一个隐藏的服务分区,如果所安装的操作系统损坏且无法再启动,可以使用该分区从启动菜单启动SupportAssist OS Recovery。但是,在某些情况下,由于替换了整个硬盘驱动器,服务分区本身可能被删除、损坏或不在。
在这种情况下,BIOSConnect允许用户直接从互联网上启动恢复过程。具体来说,该特性使用谷歌的公共DNS服务器来查找域名downloads.dell.com的IP地址,然后通过HTTPS连接到服务器。如果连接成功,它将下载SupportAssist恢复映像,将其加载到RAM中并启动它。
自动化操作系统恢复和固件更新是一个巨大的进步,在PC传统工艺的生态系统用户必须手动搜索BIOS更新或恢复工具制造商的支持网站,然后闪存到USB硬盘或光盘和引导。多年来,苹果公司一直在其电脑上提供这样的选择。
HTTPS证书验证失败
Eclypsium的研究人员发现,BIOSConnect使用的HTTPS证书验证代码可以接受任何域名的任何证书,而不仅仅是dell.com。这意味着具有MitM位置的攻击者可以毫无困难地欺骗downloads.dell.com并提供恶意代码让BIOSConnect执行。
网络连接很容易通过ARP欺骗、DNS 缓存攻击等技术遭到劫持,这些技术可以控制计算机访问互联网的网络设备,例如路由器、无线接入点或 VPN 网关。在家工作的员工更容易受到 MitM 攻击,因为家庭路由器通常充斥着未修补的漏洞或使用弱凭证。企业VPN设备中的漏洞也很常见,这些设备正日益成为复杂攻击者的目标。
近年来,软件供应链攻击也呈上升趋势,其中许多攻击针对的是软件更新机制,因此通过加密连接交付软件更新非常重要。除了加密之外,HTTPS 还提供保证,保证设备通过验证其证书连接到合法的更新服务器。对于实施者来说,这意味着客户端证书验证至关重要,尤其是在处理与固件更新一样重要的事情时。
恶意固件植入是一种最持久、最隐秘、最难以清除的感染,因为它们能在操作系统清除和硬盘替换中存活下来。多年来,情报机构、国家支持的网络间谍组织,甚至老练的网络罪犯都在使用它们。
Eclypsium的研究人员还发现,类似的证书验证缺陷存在于戴尔计算机的另一个名为HTTPS Boot的UEFI功能中,该功能允许计算机通过网络或互联网从web服务器启动一个操作系统映像。HTTPS Boot是对旧的PXE网络启动的改进,旧的PXE网络启动已经存在于BIOS中几十年了,IT团队经常使用它将定制的和更新的OS映像远程部署到他们网络上的计算机中。
缓冲区溢出支持UEFI代码执行
除了两个证书验证问题,Eclypsium还在BIOSConnect恢复和固件更新过程的文件和代码解析中发现了三个缓冲区溢出漏洞。通过利用这些漏洞,攻击者可以在UEFI内部执行恶意代码,在设备上获得深度持久性,干扰操作系统的启动过程,并禁用安全功能。
研究人员告诉CSO,如果设备没有安全引导(Secure Boot)功能,即加密验证UEFI和OS引导加载程序中加载的所有代码,就不需要利用缓冲区溢出漏洞发动攻击。通过简单地利用证书验证问题,MitM攻击者可以提供一个恶意的EFI可执行文件,该文件将在恢复或更新过程中由固件执行。
但是,如果设备确实打开了安全引导(Secure Boot),则可以通过利用三个缓冲区溢出漏洞之一来绕过此功能,在UEFI上下文中实现任意代码执行。
这些攻击的一个限制是它们需要用户交互。从技术上讲,要使用BIOSConnect,用户必须在系统重启后按F12打开一个特殊的启动菜单,并选择操作系统恢复或固件更新选项。然而,Eclypsium的研究人员目前正在调查一种可能的情况,即操作系统恢复可能自动启动。
这些漏洞是在安全启动的安全核心Latitude 5310上发现并测试的。核心安全PC是OEM厂商根据微软的一套严格要求制造的商用电脑,这些要求旨在提供更高的安全保证,包括抵御固件级别的攻击。它们结合了集成的硬件、固件、软件和身份保护。
据Eclypsium的研究人员称,戴尔已经证实,其128款PC机型使用了易受攻击的BIOSConnect功能,估计有3000万到4000万台设备。鉴于这些漏洞的工作原理,这些设备不太可能在某些广泛的活动中被集中攻击,但这些缺陷在针对一个或多个组织的有针对性攻击场景中肯定是可用的。(本文出自SCA安全通信联盟,转载请注明出处。)