Angreb mod lav-niveau sårbarheder er et stigende problem. Senest har et særlig ondsindet ét af slagsen – Shade BIOS – skabt røre i cyber security-miljøet. Sagen understreger, hvor vigtigt det er at sikre sin it-infrastruktur mod firmware-angreb.
Shade BIOS er en avanceret hacking-teknik, der opererer direkte i BIOS/UEFI, dvs. i den kode, der starter serveren op, før selve operativsystemet ”vågner” og giver brugeren adgang til applikationerne. I stedet for at udnytte sårbarheder i Windows eller Linux, skaber Shade BIOS et skjult miljø i firmwarelaget, hvor malware kan køre helt uden at blive opdaget.
Den nye angrebsvinkel udnytter en svaghed i UEFI-arkitekturen. Efter boot rydder operativsystemet ikke nødvendigvis hele BIOS-hukommelsen. Det giver malware mulighed for at gemme sig i et “skyggeområde”, hvor det kan køre parallelt med OS.
Usynlig fjende
Det særligt bekymrende ved Shade BIOS er, at den er usynlig. Malware lever i BIOS og opdages derfor ikke af konventionel sikkerhed, så som antivirus, EDR og OS-baseret overvågning. Teknikken udnytter BIOS’ design og hukommelseshåndtering og efterlader ingen spor, da den bruger UEFI-protokoller til at læse og skrive data. På den måde omgår Shade BIOS logning og systemkontrol. Og den er umulig at komme af med: Selv ved geninstallation af OS eller harddiskudskiftning forbliver Shade BIOS aktiv.
Ny angrebs-trend
Shade BIOS er det nyeste eksempel på en generel trend, der stiller skarpt på BIOS/UEFI-sikkerhed. Særligt omkring cloud-sikkerhed er firmware-angreb, der omgår traditionelle forsvarsmekanismer, blevet en faktor man som ansvarlig for it-infrastruktur må tage højde for.
Analyser fra CIA og NSA viser, at både kriminelle og statsfinansierede aktører arbejder målrettet på at udnytte BIOS/UEFI-svagheder for at opnå vedvarende og skjult kontrol over systemer, inklusive kritisk infrastruktur. F.eks. afslørede et ransomware-angreb i 2023 mod hardwareproducenten Gigabyte kritiske sårbarheder i firmware fra AMI (American Megatrends). Også i Danmark har der været alvorlige hackerangreb rettet mod firmware og hardware, bl.a. det store Zyxel Firewall-angreb mod energisektoren i maj 2023.
Sådan bliver man ramt
Angriberne installerer Shade BIOS direkte i BIOS/UEFI-firmwaren, hvor den fungerer som en slags “skygge-operativsystem”, der kører parallelt med det legitime OS.
Hackere kan skaffe sig adgang på forskellige måder, bl.a. igennem inficerede firmware-opdateringer via kompromitterede USB-enheder eller netværksbaserede opdateringsværktøjer. Desuden udnyttes UEFI-sårbarheder, f.eks. via værktøjer, som tillader skrivning direkte til firmware. Malware kan også være præinstalleret i hardware under transport, eller brugere kan narres til at installere BIOS-opdateringer fra falske kilder.
Risiko kan minimeres
Som netværksansvarlig kan man gøre en del for at minimere risikoen for firmware-angreb. For eksempel skal firmware altid være opdateret til den seneste version, så både performance og sikkerhed er i top. Desuden skal man løbende overvåge sine systemer, så mistænkelig adfærd opdages så tidligt som muligt.
Firmware hackes typisk via forfalskede certifikater. Derfor bør man sikre ægtheden af de certifikater man har, når man opgraderer sin infrastruktur med ny hardware. Alle komponenter i en server (f.eks. Netkort, SSD, HBA) har deres eget ægthedscertifikat. Men også managementchip’en har sin egen firmware og her er det meget væsentligt, at den er 100% beskyttet mod forfalskede certificater.
Sikkerhed indlejret i chip
Er man på udkig efter maksimal beskyttelse mod lav-niveau sårbarhed, så er Hewlett Packards ProLiant platform et optimalt bud. Med HPEs ProLiant Gen12-servere og Silicon Root of Trust er der skabt en af de mest sikre serverplatforme på markedet. I selve chippen er indlejret et unikt fingerprint, som kun tillader godkendt firmware at køre. Serveren starter kun, hvis firmware er verificeret. Det betyder, at Shade BIOS ikke kan snige sig ind. Desuden understøtter ProLiant platformen rollebaseret adgang og fuld audit-logning, hvilket gør det muligt at spore og forhindre uautoriseret adgang.
