พบช่องโหว่ด้านความปลอดภัยจำนวนมากบน UEFI Firmware ที่ใช้ในอุปกรณ์จาก Vendor ต่างๆหลายราย

มีรายงานการค้นพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใหม่มากถึง 23 รายการ ในการใช้งานที่แตกต่างกันของ UEFI firmware ซึ่งถูกใช้งานจาก Vendor จำนวนมาก รวมไปถึง Bull atos, Fujitsu, HP, Juniper Networks, Lenovo, และ Vendor อื่น ๆ อีกมากมาย

ช่องโหว่ดังกล่าวเกิดขึ้นภายใน InsydeH2O UEFI ของ Insyde Software ตามข้อมูลของบริษัทรักษาความปลอดภัย Binarly โดยความผิดปกติส่วนใหญ่ที่พบอยู่ในโหมดของการจัดการระบบ System Management Mode (SMM)

UEFI เป็นซอฟต์แวร์ Specification ที่ช่วยให้อินเทอร์เฟซของโปรแกรมสามารถเชื่อมต่อระหว่างเฟิร์มแวร์ของคอมพิวเตอร์กับระบบปฏิบัติการในระหว่างกระบวนการบูต โดยในระบบ x86 firmware UEFI มักจะถูกเก็บไว้ในชิปหน่วยความจำแฟลชของเมนบอร์ด

"โดยการใช้ช่องโหว่เหล่านี้ ผู้โจมตีสามารถติดตั้งมัลแวร์ที่แม้จะมีการติดตั้งระบบปฏิบัติการใหม่ก็สามารถยังทำงานอยู่ได้ และทำให้สามารถ Bypass โซลูชั่นความปลอดภัยจำพวก Endpoint(EDR/AV), Secure Boot, และ Virtualization-Based Security isolation ได้อีกด้วย" นักวิจัยกล่าว

การใช้ประโยชน์จากช่องโหว่ (CVSS scores: 7.5 - 8.2) อาจทำให้ผู้ไม่หวังดีเรียกใช้โค้ดด้วยสิทธิ์ SMM ซึ่งเป็นโหมดการดำเนินการพิเศษใน x86-based processors ที่จัดการด้าน power management, hardware configuration, thermal monitoring, และฟังก์ชั่นอื่น ๆ

"SMM ทำงานในระดับสิทธิ์สูงสุด และไม่ปรากฏบน OS ซึ่งทำให้เป็นเป้าหมายที่น่าสนใจสำหรับใช้ในการโจมตี" Microsoft ระบุในเอกสารประกอบว่า การเพิ่มช่องทางการโจมตีด้วยช่องโหว่ SMM อาจถูกนำไปใช้ร่วมกันในการโจมตีลักษณะอื่นๆได้

ที่แย่ไปกว่านั้น ผู้โจมตียังสามารถใช้ช่องโหว่ต่างๆร่วมกันเพื่อ bypass security features และติดตั้งมัลแวร์ ในลักษณะที่สามารถคงอยู่ได้หลังจากการติดตั้งระบบปฏิบัติการใหม่ และคงอยู่ในระยะยาวบนระบบที่ถูกบุกรุกได้สำเร็จ จากข้อสังเกตในกรณีของ MoonBounce มีการแอบสร้างช่องทางการเชื่อมต่อออกไปภายนอกเพื่อขโมยข้อมูลที่มีความสำคัญออกไปด้วย

Insyde ได้เปิดตัวแพตช์ firmware ที่แก้ไขช่องโหว่เหล่านี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถูกใช้ในการใช้งาน OEM หลายตัว หมายความว่าอาจต้องใช้เวลาพอสมควรก่อนที่การแก้ไขจะทะยอยลงไปยังอุปกรณ์ที่ได้รับผลกระทบ

ที่มา : thehackernews

Supermicro และ Pulse Secure ออกอัปเดตเฟิร์มแวร์ใหม่เพื่อป้องกันการโจมตีจากมัลแวร์ TrickBot

Supermicro และ Pulse Secure ได้ออกคำแนะนำและเตือนภัยถึงเมนบอร์ดบางตัวที่มีความเสี่ยงต่อการถูกโจมตีของมัลแวร์ TrickBot หรือที่เรียกว่า TrickBoot ด้วยความสามารถใหม่ที่มีโมดูลการเเพร่กระจายมัลแวร์บนเฟิร์มแวร์ UEFI

เมื่อปีที่แล้วบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intelligence และ Eclypsium ได้เปิดเผยถึงรายงานการค้นพบเกี่ยวกับโมดูลใหม่ในมัลแวร์ TrickBoot ที่มุ่งเป้าการเเพร่กระจายมัลแวร์ไปที่ยังเฟิร์มแวร์ UEFI ของอุปกรณ์ ซึ่งภายในมัลแวร์จะมีฟังก์ชันในการอ่าน, เขียนและลบเฟิร์มแวร์ ซึ่งมัลแวร์ยังสามารถปิดการควบคุมความปลอดภัยของระบบปฏิบัติการหรือปิดการติดตั้งระบบปฏิบัติการใหม่จากผู้ใช้ได้

ในคำแนะนำของ Supermicro ซึ่งได้ระบุว่าเมนบอร์ดตะกูล X10 UP-series บางตัวมีความเสี่ยงต่อ การโจมตีมัลแวร์ TrickBoot โดยเมนบอร์ด X10 UP-series รุ่นที่มีความเสี่ยงมีดังนี้

X10SLH-F ( EOL วันที่ 3/11/2021)
X10SLL-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -LN4F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLA-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SL7-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL-S / -SF (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)

ทั้งนี้ Supermicro ได้เปิดตัว BIOS เวอร์ชัน 3.4 เพื่อแก้ไขช่องโหว่แล้วแต่สามารถใช้ได้สำหรับเมนบอร์ด X10SLH-F เท่านั้น ซึ่งสำหรับเมนบอร์ดที่หมดอายุการซัพพอร์ตผู้ใช้ต้องติดต่อ Supermicro เพื่อขอการใช้งาน BIOS เวอร์ชันใหม่

สำหรับ Pulse Secure ได้ออกคำแนะนำสำหรับอุปกรณ์ Pulse Secure Appliance 5000 (PSA-5000) และ Pulse Secure Appliance 7000 (PSA-7000) ที่ทำงานบนฮาร์ดแวร์ Supermicro ที่มีช่องโหว่ โดย Pulse Secure ได้เปิดตัวแพตช์ BIOS สำหรับอุปกรณ์ Pulse Connect Secure หรือ Pulse Policy Secure ซึ่ง Pulse Secure ได้เตือนถึงแพตช์อัปเดต BIOS จะต้องรีบูตอุปกรณ์ด้วยเมื่อทำการอัปเดตเสร็จ ผู้ใช้ควรทำการอัปเดตแพตช์ BIOS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการถูกโจมตีจาก TrickBoot

ที่มา: bleepingcomputer

TrickBot Malware Gets UEFI/BIOS Bootkit Feature to Remain Undetected

มัลแวร์ TrickBot เพิ่มฟีเจอร์ใหม่ TrickBoot ทำให้มัลแวร์สามารถเข้าควบคุมเฟิร์มแวร์ในระดับ UEFI ได้

นักวิจัยจากบริษัท Advanced Intelligence (AdvIntel) และ Eclypsium ได้ออกรายงานถึงการพบความสามารถใหม่ในโมดูล TrickBot ที่จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสได้

ตามรายงานของนักวิจัยด้านความปลอดภัยซึ่งได้ระบุว่ามัลแวร์ TrickBot ได้ทำการปรับใช้โมดูล bootkit ซึ่งเป็นฟีเจอร์นี้จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสและมัลแวร์สามารถคงอยู่ได้ต่อไปหลังจากผู้ใช้ทำการติดตั้งระบบปฏิบัติการ อีกทั้งภายในโมดูลยังมีความสามารถที่จะช่วยให้ผู้ประสงค์ร้ายสามารถทำได้ดังนี้

สามารถปิดการเข้าถึงอุปกรณ์จากระยะไกลที่ระดับเฟิร์มแวร์ผ่านการเชื่อมต่อระยะไกลของมัลแวร์ทั่วไป สามารถ Bypass ระบบ Security control เช่น BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, Endpoint Protection และซอฟต์แวร์ป้องกันไวรัส เป็นต้น
สามารถทำให้ผู้ประสงค์ร้ายกำหนดเป้าหมายการโจมตีช่องโหว่ Intel CSME หรือบางส่วนของ SPI controller ได้
สามารถ Reverse ACM หรือการอัปเดตไมโครโค้ดที่แก้ไขช่องโหว่ของ CPU เช่น Spectre, MDS เป็นต้น
นักวิจัยด้านความปลอดภัยยังกล่าวอีกว่ามัลแวร์มีโค้ดสำหรับอ่านเขียนและลบเฟิร์มแวร์ ซึ่งปัจจุบันโมดูลของ TrickBot ยังสามารถทำงานกับคอนโทรลเลอร์ SPI เท่านั้น ด้วยมัลแวร์ TrickBot มีความเกี่ยวเนื่องกับกลุ่ม Ransomware ในอนาคตอาจมีความเป็นไปได้ว่ากลุ่มผู้ประสงค์ร้ายนั้นจะใช้ฟีเจอร์ใหม่ของมัลแวร์ TrickBot นี้ทำการทำลายระบบของบริษัทหรือองค์กรต่างๆ ปฏิเสธการจ่ายเงินที่ถูกเรียกร้อง ทั้งนี้โมดูลนี้ยังสามารถใช้เพื่อป้องกันไม่ให้ทำการค้นหาหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญได้โดยทำให้ความสามารถในการบู๊ตของระบบล้มเหลว

ผู้ใช้งานควรหลีกเลี่ยงการการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จักและทำการอัปเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet | thehackernews

 

Kaspersky ตรวจพบมัลแวร์ใน UEFI สายพันธุ์ใหม่ คาดพัฒนาโดยกลุ่มแฮกเกอร์จีน

ในกิจกรรม #SASatHome นักวิจัยมัลแวร์ Mark Lechtik และ Igor Kuznetsov จาก Kaspersky ออกมาเปิดเผยการตรวจพบและผลการวิเคราะห์มัลแวร์ในเฟิร์มแวร์ UEFI จากระบบซึ่งถูกโจมตีและมีการแจ้งเตือนจากซอฟต์แวร์ Firmware Scanner ว่ามีโค้ดต้องสงสัยอยู่ข้างใน

จากการตรวจสอบโค้ดดังกล่าวในเฟิร์มแวร์ UEFI ทีม Kaspersky ตรวจพบมัลแวร์ซึ่งมีคุณสมับติในการลักลอบดาวน์โหลดและติดตั้งโปรแกรมอันตรายลงสู่ระบบโดยอัตโนมัติเมื่อคอมพิวเตอร์ถูกเปิดใช้งาน ส่วนของมัลแวร์ที่จะถูกดาวน์โหลดมาเพิ่มเติมนั้นถูกเรียกโดย Kaspersky ว่า "MosaicRegressor" malware framework

แม้ว่าการตรวจสอบจะยังไม่สมบูรณ์ Kaspersky พบว่า MosaicRegressor นั้นมีโมดูลในการลักลอบขโมยข้อมูลออกจากระบบ โดยส่วนของโค้ดที่พบในเฟิร์มแวร์ UEFI นั้นอาจเป็นเพียงส่วนหนึ่งในวิธีการฝังตัวของเฟรมเวิร์ค ทีม Kaspersky ยืนยันการพบโมดูลอื่น ๆ ของ MosaicRegressor แล้ว แต่มีเพียงสองระบบเท่านั้นที่พบโค้ดอันตรายใน UEFI โค้ดของ

ระบบส่วนใหญ่ที่ตรวจพบการมีอยู่ของมัลแวร์นี้โดยส่วนใหญ่นั้นเกี่ยวข้องกับองค์กรระหว่างประเทศและกลุ่ม NGO ในแอฟริกา, เอเชียและยุโรป ด้วยลักษณะและความเกี่ยวข้องของเหยื่อนั้นชี้โยงกลับไปที่เกาหลีเหนือ อย่างไรก็ตามทีม Kaspersky กับพบความเหมือนของโค้ดมัลแวร์กับโค้ดที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์จีน ความเกี่ยวข้องของมัลแวร์และปฏิบัติการในตอนนี้จึงเชื่อมโยงกับไปหากลุ่มแฮกเกอร์จีนมากกว่า

ผู้ที่สนใจรายงานการโจมตีและการวิเคราะห์มัลแวร์สามารถดาวโหลดรายงานฉบับดังกล่าวได้ที่ : Kaspersky

ที่มา : Zdnet

องค์กรข่าวกรอง NSA แนะนำการป้องกันการถูกฝังมัลแวร์ระดับเฟิร์มแวร์ด้วย Secure Boot

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)

การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว

ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้

หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot

หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.