Nell'attuale panorama della sicurezza informatica, gli attacchi al firmware rappresentano una minaccia potente e in continua evoluzione, per un motivo principale: tali minacce non scompaiono nemmeno con la cancellazione completa dei dispositivi di archiviazione!
In quanto codice fondamentale incorporato nei dispositivi hardware, il firmware viene spesso trascurato, lasciando lacune significative nella sicurezza che gli aggressori sono ansiosi di sfruttare. Esploriamo come il firmware viene trasformato in un'arma e cosa si può fare per difendersi da queste minacce sofisticate.
Gli attori degli stati nazionali e i gruppi sofisticati di criminali informatici stanno trasformando il firmware in un'arma in attacchi mirati. Le compromissioni della supply chain, in cui il firmware dannoso viene iniettato nei dispositivi durante la produzione o la distribuzione, sono diventate più comuni. Ciò consente agli aggressori di infiltrarsi nelle reti aziendali e governative senza essere rilevati. Una volta
all'interno, il malware del firmware può:
● Fornire accesso a lungo termine per attività di spionaggio.
● Estrarre dati sensibili operando al di sotto del livello del sistema operativo.
● Disattivare i meccanismi di sicurezza in atto.
Ad esempio, i ricercatori hanno notato casi di malware firmware utilizzati in attacchi di spionaggio per disattivare gli strumenti di sicurezza o aggirare la crittografia per rubare dati critici.
Cos'è il firmware e perché è importante?
Il firmware è un software specializzato programmato direttamente nei dispositivi hardware. Consideratelo come il codice di base che controlla le funzioni di basso livello di tutto, dal disco rigido del vostro laptop ai router e ai dispositivi IoT. Poiché è profondamente integrato, il firmware spesso funziona a un livello inferiore rispetto al sistema operativo, il che lo rende un bersaglio ideale per gli aggressori.
Gli attacchi al firmware sono particolarmente pericolosi perché possono persistere anche dopo la tradizionale reinstallazione del software o il riavvio del sistema . Inoltre, molte aziende non danno priorità agli aggiornamenti del firmware come fanno con le patch del sistema operativo o delle applicazioni, il che porta ad ampie finestre di vulnerabilità.
La meccanica degli attacchi al firmware
Gli attacchi al firmware spesso iniziano con vulnerabilità nel meccanismo di aggiornamento o tramite catene di fornitura compromesse. Gli aggressori sfruttano le debolezze per inserire codice dannoso ai livelli più bassi del funzionamento di un dispositivo, consentendo loro di:
● Creare backdoor : ottenere un accesso persistente anche quando i team di sicurezza ritengono di aver ripulito un sistema.
● Rilevamento bypass : molte soluzioni di sicurezza tradizionali non esaminano approfonditamente il firmware, consentendo al malware di agire inosservato.
● Infettare le catene di fornitura dell'hardware : un firmware dannoso può essere introdotto durante il processo di produzione, infettando l'hardware prima ancora che venga consegnato al cliente.
Come prevenire tali attacchi ai tuoi sistemi?
In questa sezione, esamineremo i passaggi per rilevare potenziali rootkit a livello di firmware, come ad esempio Lojax . Questi passaggi aiuteranno a valutare le impostazioni di sicurezza UEFI e ad analizzare il firmware di sistema per le modifiche che potrebbero indicare attività di rootkit.
Nei moderni sistemi operativi, uno dei modi più significativi per prevenire i rootkit, è il Secure Boot . UEFI Secure Boot assicura che solo software attendibile possa essere caricato durante il processo di avvio. Di seguito un esempio di come verificare se il Secure Boot è abilitato sul vostro sistema Windows.
● Aprire il Prompt dei comandi con privilegi amministrativi. Puoi farlo cercando " cmd " nel menu Start, cliccando con il tasto destro e selezionando "Esegui come amministratore".
● Nel prompt dei comandi, eseguire il seguente comando: bcedit/enum
● Cerca la sezione path. Se il valore è winload.efi , il tuo sistema sta usando UEFI. Quindi, verifica lo stato Secure Boot eseguendo:
Come nel caso precedente, Secure Boot è disattivato. Per prevenire potenzialmente tali attacchi, è altamente consigliato abilitare Secure Boot , che varia a seconda del sistema sottostante. Per Dell, puoi andare al Boot Menu all'avvio con il tasto Esc o F2 e quindi impostare lo stato Secure Boot su On.
Conseguenze - Un esempio concreto: l' attacco LoJax
Uno degli attacchi basati su firmware più noti è LoJax , un rootkit UEFI (Unified Extensible Firmware Interface). LoJax si integra nel firmware di un computer, in particolare nel suo UEFI, che controlla l'avvio del sistema operativo. Anche se il disco rigido di un computer viene ripulito o il sistema operativo reinstallato, LoJax rimane , fornendo agli aggressori una backdoor nel sistema.
Il malware UEFI come LoJax è pericoloso perché opera al di sotto del radar delle soluzioni di sicurezza tradizionali. I programmi antivirus, i firewall e i sistemi di rilevamento delle intrusioni si concentrano sul sistema operativo e sulle applicazioni, ma spesso trascurano i livelli del firmware, rendendo LoJax quasi invisibile a loro.
NGSecurity: Come difendersi dagli attacchi al firmware
Sebbene gli attacchi al firmware siano complessi, le aziende possono adottare alcuni accorgimenti per mitigare il rischio:
1. Monitoraggio dell'integrità del firmware : implementare strumenti appositamente progettati per monitorare il firmware per rilevare modifiche non autorizzate.
2. Implementare una politica di aggiornamento rigorosa : assicurarsi che tutto il firmware venga aggiornato regolarmente e solo da fonti attendibili. I venditori dovrebbero anche implementare processi di avvio sicuri per impedire modifiche non autorizzate del firmware.
3. Controllo della catena di fornitura : le aziende devono controllare attentamente i fornitori di hardware e assicurarsi che i loro dispositivi non siano stati compromessi prima ancora di essere consegnati.
4. Soluzioni di sicurezza basate su hardware : alcune soluzioni moderne, come Boot Guard di Intel o TrustZone di ARM , forniscono una protezione basata su hardware in grado di monitorare l'integrità del firmware.
In un contesto in cui gli attacchi al firmware diventano sempre più sofisticati, il Security Operations Center (SOC) di NGSecurity si pone come una risorsa cruciale per la difesa delle aziende. Grazie ad un approccio proattivo e a tecnologie all'avanguardia, NGSecurity è in grado di rilevare e rispondere in tempo reale a minacce avanzate che colpiscono il firmware.
Il nostro SOC integra strumenti di monitoraggio dell'integrità e analisi comportamentale su più livelli, identificando anomalie e attacchi mirati prima che possano causare danni irreversibili. Affidarsi a NGSecurity significa potenziare la resilienza aziendale, proteggendo uno degli elementi più critici e vulnerabili dell'infrastruttura IT: il firmware.
