عثرت إحدى الشركات الأمنية على ثغرات أمنية في الأجهزة، والتي إذا تم اختراقها، يمكن أن تمنح المتسللين السيطرة على الأنظمة.
تسمح الثغرة الأمنية، التي كشفت عنها شركة Binarly Research، للمهاجم بالتحكم في النظام عن طريق تعديل متغير في الذاكرة غير المتطايرة، التي تقوم بتخزين البيانات بشكل دائم، حتى عند إيقاف تشغيل النظام.
وقال أليكس ماتروسوف، المؤسس والرئيس التنفيذي لشركة Binarly، التي توفر إمكانية الوصول المستمر إلى الأنظمة المخترقة، إن المتغير المعدل سوف يعرض للخطر مرحلة التمهيد الآمن للنظام، ويمكن للمهاجم الوصول المستمر إلى الأنظمة المخترقة بمجرد حدوث الاستغلال. أدوات مفتوحة المصدر لاكتشاف نقاط الضعف في البرامج الثابتة.
“Basically, the attacker can manipulate variables from the operating system level,” Matrosov said.
ثغرة أمنية في البرامج الثابتة تفتح الباب
التمهيد الآمن هو نظام منتشر في معظم أجهزة الكمبيوتر والخوادم لضمان تشغيل الأجهزة بشكل صحيح. يمكن للقراصنة السيطرة على النظام إذا تم تجاوز عملية التمهيد أو كانت تحت سيطرتهم.
ولكن من أجل التعامل مع المتغيرات، سيحتاج المستخدم إلى وصول متميز إلى النظام. قد يحتاج المستخدمون إلى وصول المسؤول إلى أنظمة Linux أو Windows. يتم تنفيذ التعليمات البرمجية الضارة قبل تحميل نظام التشغيل.
“The firmware piece is important because the attacker can gain very, very interesting persistence capabilities, so they can play for the long term on the device,” Matrosov said.
وقال ماتروسوف: إن الثغرة الأمنية تشبه ترك الباب مفتوحًا، حيث يمكن للمتسلل الوصول إلى موارد النظام عندما يشاء عندما يكون النظام قيد التشغيل.
تعتبر الثغرة الأمنية ملحوظة لأنها تؤثر على المعالجات المستندة إلى بنية ARM، والتي يتم استخدامها في أجهزة الكمبيوتر والخوادم والأجهزة المحمولة. تم اكتشاف عدد من المشكلات الأمنية على شرائح x86 من إنتل وAMD، لكن ماتروسوف أشار إلى أن هذا الكشف يعد مؤشرًا مبكرًا على العيوب الأمنية الموجودة في تصميمات شرائح ARM.
كوالكوم تحذر من Snapdragon
The problem springs from a vulnerability affecting Qualcomm’s Snapdragon chipsets, which the كشفت شركة رقاقة في يناير 5.
Qualcomm’s Snapdragon chips are used in laptops and mobile devices. The vulnerabilities could affect a wide range of those devices using Unified Extensible Firmware Interface (UEFI) firmware with Snapdragon chips. A few devices, including PCs from Lenovo and Microsoft, have already been identified.
لينوفو في نشرة الأمن issued last week said that the vulnerability affected the BIOS of the ThinkPad X13s laptop, which is based on Qualcomm’s Snapdragon chipset. The company has issued a BIOS update to patch the vulnerability.
Microsoft’s Windows Dev Kit 2023, which is code-named Project Volterra, is also impacted by the vulnerability, Binarly said in a research note. Project Volterra is designed for programmers to write and test code for the Windows 11 operating system. Microsoft is using the Project Volterra device to lure conventional x86 Windows developers into the ARM software ecosystem, and the device’s release was a top announcement at Microsoft’s Build and ARM’s DevSummit conferences last year.
AMD يعني أن الأجهزة المحمولة معرضة للخطر
The Meltdown and Spectre vulnerabilities largely affected x86 chips in server and PC infrastructures. But the discovery of vulnerabilities in ARM’s boot layer is particularly concerning because the architecture is driving a low-power mobile ecosystem, which includes 5G smartphones and base stations. The base stations are increasingly at the center of communications for edge devices and cloud infrastructures. Attackers could behave like operators, and they will have persistence at base stations and nobody will know, Matrosov said.
وقال إن مسؤولي النظام بحاجة إلى إعطاء الأولوية لتصحيح عيوب البرامج الثابتة من خلال فهم المخاطر التي تتعرض لها شركاتهم ومعالجتها بسرعة.
“Not every company has policies to deliver firmware fixes to their devices. I have worked for large companies in the past, and before I started my own company, none of them — even these hardware-related companies — had an internal policy to update the firmware on employee laptops and devices. This is not right,” Matrosov said.
وقال إن مطوري البرامج الثابتة بحاجة أيضًا إلى تطوير عقلية الأمن أولاً. يتم تشغيل العديد من أجهزة الكمبيوتر اليوم بناءً على المواصفات المقدمة من منتدى UEFI، والذي يوفر أدوات ربط للبرامج والأجهزة للتفاعل.
“We found that OpenSSL, which is used in UEFI firmware — it’s in the ARM version — is very outdated. As an example, one of the major TPM providers called Infineon, they use an eight-year-old OpenSSL version,” Matrosov said.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 5G
- a
- من نحن
- الوصول
- معالجة
- الإداريين
- تؤثر
- تؤثر
- اليكس
- يسمح
- سابقا
- AMD
- و
- اشعارات
- هندسة معمارية
- ARM
- قاعدة
- على أساس
- في الأساس
- لان
- قبل
- نساعدك في بناء
- تسمى
- قدرات
- مركز
- الرئيس التنفيذي
- رقاقة
- شيبس
- شرائح
- سحابة
- الكود
- مجال الاتصالات
- الشركات
- حول الشركة
- حل وسط
- تسوية
- المؤتمرات
- مراقبة
- تقليدي
- استطاع
- البيانات
- نقل
- نشر
- تصميم
- تصاميم
- ديف
- تطوير
- المطورين
- جهاز
- الأجهزة
- إفشاء
- اكتشف
- اكتشاف
- منتجات الأبواب
- قيادة
- في وقت مبكر
- النظام الإيكولوجي
- حافة
- إما
- موظف
- ضمان
- الأثير (ETH)
- حتى
- مثال
- ينفذ
- القائمة
- استغلال
- قليل
- العيوب
- المنتدى
- وجدت
- مؤسس
- المؤسس والرئيس التنفيذي
- تبدأ من
- ربح
- منح
- القراصنة
- قراصنة
- أجهزة التبخير
- يساعد
- السنانير
- HTML
- HTTPS
- محدد
- أثر
- أهمية
- in
- يشمل
- بما فيه
- على نحو متزايد
- مؤشر
- انفينيون
- البنية التحتية
- تفاعل
- وكتابة مواضيع مثيرة للاهتمام
- السطح البيني
- داخلي
- نشر
- IT
- يناير
- عدة
- علم
- كمبيوتر محمول
- أجهزة الكمبيوتر المحمولة
- كبير
- إلى حد كبير
- اسم العائلة
- العام الماضي
- طبقة
- مغادرة
- Lenovo
- مستوى
- لينكس
- طويل
- رائد
- كثير
- يعني
- الانهيار
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- مایکروسافت
- عقلية
- الجوال
- أجهزة محمولة
- تم التعديل
- أكثر
- حاجة
- جدير بالذكر
- وأشار
- عدد
- عروض
- ONE
- جاكيت
- يفتح
- بينسل
- تعمل
- نظام التشغيل
- مشغلي
- طلب
- الخاصة
- خاصة
- الماضي
- بقعة
- الترقيع
- PC
- أجهزة الكمبيوتر
- بشكل دائم
- إصرار
- مرحلة جديدة
- قطعة
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- من فضلك
- سياسات الخصوصية والبيع
- سياسة
- أولويات
- متميز
- المشكلة
- مشاكل
- عملية المعالجة
- المعالجات
- المبرمجين
- تنفيذ المشاريع
- بصورة صحيحة
- المقدمة
- مقدمي
- ويوفر
- كوالكوم
- بسرعة
- نطاق
- الافراج عن
- بحث
- الموارد
- المخاطرة
- قال
- تأمين
- أمن
- الهواتف الذكية
- نبتة أنف العجل
- So
- تطبيقات الكمبيوتر
- مصدر
- مواصفات
- طيف
- بداية
- بدأت
- محطات
- فروعنا
- تحول
- نظام
- أنظمة
- أخذ
- تجربه بالعربي
- •
- من مشاركة
- إلى
- اليوم
- تيشرت
- تحول
- مع
- فهم
- موحد
- تحديث
- تستخدم
- مستخدم
- المستخدمين
- الإصدار
- نقاط الضعف
- الضعف
- يحذر
- أسبوع
- التي
- واسع
- مدى واسع
- سوف
- نوافذ
- 11 النوافذ
- عمل
- سوف
- اكتب
- عام
- زفيرنت