Driver senza firma digitale: perché possono rappresentare una minaccia

Il problema era già noto da tempo ma ai ricercatori di Eclypsium va il merito di aver individuato una serie di driver per la gestione di periferiche hardware sprovvisti di firma digitale che potrebbero essere sfruttati per eseguire codice dannoso sui sistemi degli utenti e monitorare il traffico all’interno della rete locale.

Il fatto è che, ancora oggi, molti produttori hardware continuano a usare firmware sprovvisti di firme digitali che possono quindi essere utilizzati per attaccare sia sistemi Windows che Linux.
I ricercatori di Eclypsium sono stati in grado di individuare firmware senza firme digitali nei dispositivi WiFi, hub USB, trackpad, videocamere e altri device comunemente installati nei PC di Dell, HP, Lenovo così come di altri produttori (qui è consultabile il testo completo della ricerca).

Si tratta di un problema non da poco perché utenti malintenzionati possono sfruttare l’utilizzo di firmware sprovvisti di firme digitali per monitorare le LAN altrui, sottrarre dati personali e informazioni sensibili, sferrare attacchi DoS e infettare workstation e server con ransomware e altre minacce.

Eclypsium cita il firmware dei dispositivi touchpad e TrackPoint usati nei notebook Lenovo ThinkPad X1 Carbon di sesta generazione; la telecamera HP Wide Vision FHD dei convertibili HP Spectre x360 13-ap0xxx; la scheda WiFi del notebook Dell XPS 15 9560.

Come si vede nella dimostrazione video, gli esperti di Eclypsium – previa modifica del firmware non firmato digitalmente di una scheda di rete – sono stati in grado di esaminare tutti i pacchetti dati e assumere il controllo di un sistema server (analizzando il traffico BMC).

Mentre Apple macOS controlla automaticamente i pacchetti di driver e il firmware utilizzati per controllare che non venga usato codice non firmato, Windows e Linux eseguono la verifica delle firme solo quando il firmware o i driver vengono installati sul dispositivo.
“Sfortunatamente i problemi introdotti dall’utilizzo di firmware sprovvisti di firma digitale non sono facili da risolvere. Se il componente non è stato progettato per verificare la presenza delle firme digitali spesso non può essere risolto con un semplice aggiornamento del firmware“, conclude Eclypsium. ““In molti casi, il problema di fondo di un dispositivo o di una linea di prodotti non può essere affatto risolto affatto: ciò significa che tutti i dispositivi continueranno ad essere vulnerabili per tutto il loro ciclo di vita“.

Nell’articolo Driver Windows, come ottenere la lista completa abbiamo visto come controllare l’utilizzo in Windows di driver senza firma digitale.