原标题：结束固件攻击的猫捉老鼠游戏

　　没有时间可以浪费在开发在固件级别以及堆栈更高级别进行保护的安全解决方案上。

　　在过去的十年中，计算领域发生了一个安静而基础的转变，用于在引导期间执行硬件初始化等功能以及在常规操作系统操作期间执行运行时服务等功能。随着几代固件的可用性和性能不断提高，它们的安全性经常滞后，使得固件世界没有准备好应对不断演变的威胁。

　　黑客已经注意到并在频率和复杂性方面升级了他们的攻击。美国国家标准与技术研究院 (NIST) 维护的国家漏洞数据库显示，自 2018 年以来，针对固件的攻击增加了 500%。微软委托进行的一项研究发现，83% 的企业 IT 决策者的系统受到攻击过去两年发生过固件攻击，但只有 29% 的平均安全预算用于保护固件级别。作为这可能造成多大损害的一个例子， 麦肯锡公司 的数据显示，单次召回医疗设备以纠正未解决的漏洞(例如固件威胁)可能花费高达 6 亿美元。

　　这是不可持续的。需要一个新的解决方案来彻底结束这场猫捉老鼠的游戏，并且很快。

　　默默无闻的安全不起作用

　　由于 IT 安全性和可见性工作仍主要集中在应用层，不良行为者倾向于寻求更简单的方法来利用系统漏洞，将堆栈向下移动到固件级别。与对固件黑客攻击复杂性的普遍误解相反，黑客已经在销售工具来隐藏固件设备中的恶意软件，例如 GPU。一旦进入固件，黑客就可以禁用远程固件更新，从而无法远程解决问题，因此需要对固件进行物理访问的技术人员进行服务。这通常需要完全关闭和现场服务访问，这对于大规模部署来说可能非常昂贵。修复固件或硬件中的零日黑客攻击可能非常耗时，导致有问题的系统比软件漏洞更容易受到攻击。

　　固件威胁从一开始就成功

　　BIOS 由 IBM 于 1975 年首创，代表基本输入/输出系统，是指 CPU 运行其固件的物理芯片。术语“旧版 BIOS”是指在该物理 BIOS 组件上运行的原始固件。该遗留固件用于在引导过程(开机启动)期间执行硬件初始化，并为操作系统和程序提供运行时服务。BIOS 固件最初存储在主板上的 BIOS 芯片上，但后来被移动到闪存中，因此可以在不从板上移除 BIOS 芯片的情况下对其进行重写。这使得最终用户可以轻松地启动 BIOS 更新以添加功能或进行故障排除，但使其在最终用户中流行的易于访问和可更改性也使得 BIOS 容易受到引导套件的攻击。最重要的是，

　　这些漏洞被 BIOS 威胁所利用，如 WinCIH、ACPI rootkit、IceLord rootkit、Mebromi 和 Rakshasa，其中许多在 1990 年代后期变得突出。其中一些攻击通过阻止受感染的计算机启动而起作用，利用了当时广泛使用的操作系统允许所有程序直接访问硬件的事实。现代系统不允许用户直接访问硬件，因此许多早期威胁已经过时。也就是说，BIOS 攻击非常普遍，因此有必要对固件安全性进行重大过渡性改进。

　　在过去十年左右的时间里，工程师们开始设计将 BIOS 固件替换为统一可扩展固件接口 (UEFI) 固件的设备，该固件取代了 BIOS 运行时接口，并通过加快启动和关闭速度、改进接口、并支持更大的硬盘驱动器。UEFI 固件改进了网络和远程故障排除和配置。然而，鉴于当时主要的 BIOS 攻击策略是破坏引导过程，UEFI 最重要的安全功能也许是它向世界引入了安全引导概念。

　　本质上，当具有安全启动的系统打开时，它会定位操作系统引导加载程序。如果没有安全启动，它将只使用存在的任何启动固件，而无需首先验证该引导加载程序或之前的固件是否应该被信任。UEFI 的安全引导协议确保引导加载程序在启动之前由受信任的证书签名。

　　尽管 UEFI 固件启用的安全启动提供了比传统 BIOS 固件能够提供的改进，但仍然存在弱点。黑客发现，如果他们能够进入 UEFI 固件，他们随后将能够破坏用于远程证明目的的可信平台测量 (TPM)，因为这些平台首先依赖于启用安全启动的 UEFI 固件。简而言之，由于黑客可以访问托管 UEFI 固件的位置，因此依赖于该 UEFI 固件的所有内容都会受到损害。

　　最近一个以这种方式专门针对 UEFI 固件的“野外”恶意软件的例子是 Lojax，它通过渗透 LoJack 防盗跟踪软件来工作。

　　从堆栈的更高层检测和解决像 Lojax 恶意软件这样的固件入侵要困难得多。不仅应用层工具从一开始就无法提供足够的可见性和响应工具来抵御固件攻击，而且一旦进入固件，攻击者可以在建立持久性并控制系统固件和软件级别的各个方面后禁用这些工具一样。从那里，他们可以获取数据，甚至感染在同一网络上运行的其他设备。

　　例如，最近发现的英特尔处理器中的 BIOS 缺陷被跟踪为 CVE-2021-0157 和 CVE-2021-0158，两者的 CVSS v3 分数均为 8.2(高)。这允许以操作系统级别权限运行的攻击者触发内存损坏并最终安装 BIOS 级别的植入程序。同样，此类攻击尤其成问题，因为主板供应商不会经常发布 BIOS 更新以跟上它们，因此，这些产品没有长期支持。

　　仅软件或固件的解决方案也不足以解决问题，2019 年 Surface Pro 3 可转换笔记本电脑的利用以及 Microsoft 引入的用于验证 BIOS、TPM 和安全启动的设备健康证明 (DHA) 功能就证明了这一点。Surface 等设备将来自平台配置寄存器 (PCR) 的测量值存储在银行中，以供 DHA 进行健康和证明检查。然而，根据微软的漏洞报告，使用某些固件启动的某些设备不提供其 PCR 库的任何测量值，因此从类似设备获取合法 TCG 日志的狡猾黑客可以使用它将复制的测量值输入到 PCR 库中。目标设备，然后使用这些测量来获取合法的 DHA 证书。

　　甚至更多的“物理”设备，例如 ATM，已被证明容易受到同样问题的影响。在最近的一项研究中，发现 Diebold Nixdorf ATM 容易受到固件黑客攻击，从而可能导致现金提取。尽管部署了固件加密更新(固件代码应该对除供应商和设备 CPU 之外的任何人隐藏)和 TPM 对策，攻击者还是能够更改设备固件。

　　这类固件和软件攻击正在增加。Petya、NotPetya 和其他破坏性勒索软件攻击变体并不是什么新鲜事。根据卡巴斯基 2022 年高级威胁预测，低级攻击将呈爆炸式增长，攻击者将重新使用 bootkit 植入程序。这样的预测表明，我们可能会回到 90 年代后期出现的固件恶意软件的激增。

　　IT 决策者必须通过将皇冠上的宝石从固件上移到攻击者无法到达甚至无法看到的地方来解决这个明显的漏洞。

　　过渡到隔离的安全处理器

　　为了保护固件免受更加雄心勃勃和创造性的攻击者的攻击，信任根 (RoT) 作为一个实体是必要的，它可以检查堆栈的每一层，从硬件启动到固件加载到操作系统运行时，直到正在运行的应用程序。计算组件以这种方式值得信赖的唯一方法是它是不可变的，这种情况排除了任何类型的软件解决方案作为选项。因此，硬件解决方案是必要的，通常涉及将加密密钥(直接与提供它们的设备所有者相关联)存储在机器的硅片中，而不是在孤立的实现中存储在其软件中。新颖的解决方案更进一步，将 RoT 完全卸载到单独的安全处理单元芯片，

　　开放计算项目在其 RoT 规范的开放标准版本 1.0 中提倡硬件 RoT。这个正式的规范很重要，因为除了防止固件持久性攻击之外，它还帮助固件开发人员了解如何开发更安全且漏洞更少的固件，尽管这些学习可能难以实施。标准化也有助于供应商创建可互操作的解决方案。

　　在系统硬件或隔离安全处理器上建立 RoT 的问题在于，在设计上，它们很难访问或影响。这使它们对不良行为者更加安全，但在发现新漏洞或需要新功能时也降低了它们的灵活性。这就是现场可编程门阵列可以发挥作用的地方。因为它在制造后是可配置的，所以 FPGA 允许程序员调整其更大系统的组件的结构，而无需承担原本需要的大量财务或时间负担。

　　CIO、CISO 和 IT 决策者必须意识到他们的系统非常容易受到攻击，尤其是在攻击不断升级的固件级别。抵御此类攻击需要硬件信任根，它可用于对任何堆栈级别的任何更改进行身份验证和授权，同时保持足够的灵活性以适应新的漏洞并启用安全应用程序。

　　随着黑客的野心越来越大，固件攻击只会增加。很久以前，每个人都对此有所作为。

　　本文最初发表在 EE Times Europe上。

　　Aviram Shemesh 是 Kameleon Security 的安全研究副总裁。