28 Декабря, 2011

Использование "злонамеренного" аппаратного обеспечения в целях НСД

Андрей Комаров
"Hardware involved software attacks" - отдельный блок уязвимостей, связанных в первую очередь с аппаратным обеспечением компьютера (прошивки и драйверы графических адаптеров, сетевых карт, HID-устройств), эксплуатация которых позволяет повлиять на программное окружение ОС, в том числе для реализации НСД к хранимой информации.

Атаки с использованием данных уязвимостей являются особенно неоднозначными по причине их многопрофильного использования (нарушение работы, хищение информации, выполнение неавторизированного кода), а также непредсказуемости их появления и обнаружения. Сложность обнаружения вносимых закладок в составе аппаратного обеспечения подтверждается отдельными документами ФСТЭК РФ.

Безусловно, в качестве наиболее показательных примеров следует выделить всевозможные ошибки в прошивках аппаратного обеспечения, что явным образом проявляется в человеческой практике в форме "подвисаний" компьютера или экстренного останова корректной работы.

В качестве наиболее интересных примеров, следует выделить уже существующие записи информационных баз NIST CVE/CWE:

CVE-2008-0706: Unspecified vulnerability in the BIOS F.26 and earlier for the HP Compaq Notebook PC allows physically proximate attackers to obtain privileged access via unspecified vectors, possibly involving an authentication bypass of the power-on password (BIOS, материнская карта)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0706

CVE-2008-7096: Intel Desktop and Intel Mobile Boards with BIOS firmware DQ35JO, DQ35MP, DP35DP, DG33FB, DG33BU, DG33TL, MGM965TW, D945GCPE, and DX38BT allows local administrators with ring 0 privileges to gain additional privileges and modify code that is running in System Management Mode, or access hypervisory memory as demonstrated at Black Hat 2008 by accessing certain remapping registers in Xen 3.3. (BIOS, материнская карта)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-7096

CVE-2009-0282: Integer overflow in Ralink Technology USB wireless adapter (RT73) 3.08 for Windows, and other wireless card drivers including rt2400, rt2500, rt2570, and rt61, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a Probe Request packet with a long SSID, possibly related to an integer signedness error (Wi-Fi адаптер)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0282

CVE-2011-0640 udev: Arbitrary code execution via crafted USB data, from smartphone connected to the system (USB)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0640

CVE 2011-0638: Microsoft Windows does not properly warn the user before enabling additional Human Interface Device (HID) functionality over USB (USB)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0638

CVE-2011-3215: The kernel in Apple Mac OS X before 10.7.2 does not properly prevent FireWire DMA in the absence of a login, which allows physically proximate attackers to bypass intended access restrictions and discover a password by making a DMA request in the (1) loginwindow, (2) boot, or (3) shutdown state. (Firewire)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3215

Рост подобного рода уязвимостей подтверждается усложнением информационных технологий и функциональных особенностей аппаратного обеспечения, в свою очередь интересы злоумышленника прямо привязаны к данного рода атакам по причине их скрытности и сложности предотвращения. Как пример, сравнительно давно, была обозначена угроза использования платы Teensy , программирование которой позволяет неавторизированно выполнить произвольный код, притворившись HID-устройством (эмулируется нажатие клавиш клавиатуры, через которые выполняет заведомо подготовленный сценарий для ОС).

При проверке защищенности АС и тестах на проникновение, специалистами Group-IB используются разработанные методики изучения уровня защищенности, в том числе для оценки влияния подобных угроз ИБ.

Подробнее:
http://www.forristal.com/material/Forristal_Hardware_Involved_Software_Attacks.pdf
или введите имя

CAPTCHA
Зильдербан
28 Декабря, 2011
Очень интересная тема, как раз есть опасность что даже в современных процах есть то, что не надо )))))
0 |