Equation Group HDD遭到黑客入侵后的五年,固件安全性仍然很糟糕
作者:ZDNet 发布时间:2020-02-18

专注于固件安全的网络安全公司Eclypsium在今天发布的一份报告中说,未签名固件的问题仍然是设备和外围设备制造商中普遍存在的问题。

根据研究人员的说法,许多设备制造商仍未签署其组件附带的固件。此外,即使他们对设备的固件进行签名,也不会在每次加载驱动程序/固件时都执行对固件签名的检查,而仅在安装过程中执行。

研究人员说,这为恶意行为者篡改本地固件打开了大门,以便对本地固件进行篡改从而在用户设备上植入持久性和几乎不可见的恶意软件后。

为了证明自己的观点,Eclypsium团队在报告中披露了四种类型的外围固件中的漏洞-触摸板/触控板,相机,WiFi适配器和USB集线器。

Eclypsium团队说:“每次在将驱动程序包中的所有文件(包括固件)加载到设备之前,它们都会对它们进行签名验证,以减轻这种攻击的可能性。”

“相反,Windows和Linux仅在最初安装该软件包时才执行这种类型的验证。”

但是,尽管有些人可能很快就责怪操作系统没有执行更严格的固件签名实践,但Eclypsium团队却并不同意这个观点。

他们说:“最终,设备本身需要在允许固件更新之前执行签名验证,而不是取决于操作系统来执行此任务。”

设备制造商之所以不这样做,是因为懒惰,冷漠,或者因为他们不觉得自己或他们的客户受到任何威胁。

但是,当受到压力时,设备制造商将能够执行严格的驱动程序/固件签名。

也确实发生过这样的事情,2015年,来自卡巴斯基的安全研究人员发现了在此之前没人见过的一种新型的恶意软件。

该恶意软件名为NLS_933.dll,具有为许多HDD品牌重写HDD固件的能力,以植入持久的后门。卡巴斯基表示,该恶意软件被用于攻击全世界的系统。

卡巴斯基研究人员声称,该恶意软件是由一个名为“方程式组织”的黑客组织开发的,该组织的代号后来与美国国家安全局(NSA)相关联。

Eclypsium表示,知道NSA在监视他们的客户之后,导致许多HDD和SSD供应商提高了固件的安全性。

然而,自方程式集团的HDD植入物

在野外被发现并向硬件行业引入固件入侵的力量以来,五年,Eclypsium表示供应商仅部分解决了这一问题。

研究人员说:“在披露了Equation Group的驱动器植入物之后,许多HDD和SSD供应商进行了更改,以确保其组件仅接受有效的固件。但是,许多其他外围组件尚未效仿。”

现在,Eclypsium敦促硬件行业跟随HDD / SSD制造商的脚步,并采取更严格的固件签名规则-即,每次将固件加载到内存中时都检查签名,而不仅仅是在安装时进行。