在過去的幾年中,ATM和銷售點(POS)系統(tǒng)已成為許多網(wǎng)絡犯罪分子的目標,這導致了一些歷史上規(guī)模最大的信用卡盜用和盜竊案。盡管攻擊者可以通過多種方式侵入這些計算機,但研究人員現(xiàn)在警告說,這些設備的驅(qū)動程序中的漏洞可能導致更持久的破壞性攻擊。
設備安全公司Eclypsium的研究人員近日評估了主流ATM和POS機設備驅(qū)動程序的安全性。在過去的一年中,他們的被稱為“翻車驅(qū)動程序”的研究項目發(fā)現(xiàn)了來自至少20個不同硬件供應商的40個Windows驅(qū)動程序中的漏洞和設計缺陷,突出了這種攻擊面的廣泛問題。
大多數(shù)人認為Windows是服務器、工作站和便攜式計算機的操作系統(tǒng),但事實上Windows在ATM、POS終端、自助服務亭、醫(yī)療系統(tǒng)和其他類型的專用設備中也很普遍。這些設備通常在受管制的行業(yè)和環(huán)境中使用,因此通常更難更新,因為更新需要通過嚴格的測試和認證。使它們長時間脫機可能導致業(yè)務中斷和財務損失。
Eclypsium的研究人員在一份新報告(https://eclypsium.com/2020/06/29/screwed-drivers-open-atms-to-attack/)中說,針對ATM的攻擊可以采取多種形式:
攻擊者可以通過破壞連接到該設備的銀行網(wǎng)絡,通過破壞ATM機與銀行卡處理器的連接或通過訪問ATM的內(nèi)部計算機來傳播惡意軟件。與傳統(tǒng)攻擊一樣,攻擊者或惡意軟件通常需要提升攻擊者的權(quán)限,更深入地訪問系統(tǒng)。通過利用不安全的驅(qū)動程序中的功能,攻擊者或惡意軟件可以獲取新特權(quán),訪問信息并最終竊取金錢或客戶數(shù)據(jù)。
Eclypsium研究人員發(fā)現(xiàn)了Diebold Nixdorf(用于銀行和零售業(yè)的最大設備制造商之一)的ATM模型中使用的驅(qū)動程序中的漏洞。該驅(qū)動程序使應用程序可以訪問該系統(tǒng)的各種x86 I/O端口。
ATM本質(zhì)上是具有專用外圍設備(如讀卡器、密碼鍵盤、網(wǎng)絡接口或通過各種通信端口連接的現(xiàn)金匣)的計算機。通過通過易受攻擊的驅(qū)動程序訪問I/O端口,攻擊者可以潛在地讀取ATM中央計算機與PCI連接的設備之間交換的數(shù)據(jù)。
此外,此驅(qū)動程序可用于更新BIOS,這是在操作系統(tǒng)之前啟動并初始化硬件組件的計算機的低級固件。通過利用此功能,攻擊者可以部署B(yǎng)IOS rootkit,該rootkit將在重新安裝操作系統(tǒng)后幸免,從而導致高度持久的攻擊。
據(jù)研究人員所知,尚未有人在任何實際攻擊中利用此漏洞,但基于與Diebold的討論,他們認為在其他ATM模型和POS系統(tǒng)中使用了相同的驅(qū)動程序。Diebold與研究人員合作,并于今年早些時候發(fā)布了補丁。