在过去的几年中,ATM和销售点(POS)系统已成为许多网络犯罪分子的目标,这导致了一些历史上规模最大的信用卡盗用和盗窃案。尽管攻击者可以通过多种方式侵入这些计算机,但研究人员现在警告说,这些设备的驱动程序中的漏洞可能导致更持久的破坏性攻击。

设备安全公司Eclypsium的研究人员近日评估了主流ATM和POS机设备驱动程序的安全性。在过去的一年中,他们的被称为“翻车驱动程序”的研究项目发现了来自至少20个不同硬件供应商的40个Windows驱动程序中的漏洞和设计缺陷,突出了这种攻击面的广泛问题。

大多数人认为Windows是服务器、工作站和便携式计算机的操作系统,但事实上Windows在ATM、POS终端、自助服务亭、医疗系统和其他类型的专用设备中也很普遍。这些设备通常在受管制的行业和环境中使用,因此通常更难更新,因为更新需要通过严格的测试和认证。使它们长时间脱机可能导致业务中断和财务损失。

Eclypsium的研究人员在一份新报告(https://eclypsium.com/2020/06/29/screwed-drivers-open-atms-to-attack/)中说,针对ATM的攻击可以采取多种形式:

“攻击者可以通过破坏连接到该设备的银行网络,通过破坏ATM机与银行卡处理器的连接或通过访问ATM的内部计算机来传播恶意软件。与传统攻击一样,攻击者或恶意软件通常需要提升攻击者的权限,更深入地访问系统。通过利用不安全的驱动程序中的功能,攻击者或恶意软件可以获取新特权,访问信息并最终窃取金钱或客户数据。”

Eclypsium研究人员发现了Diebold Nixdorf(用于银行和零售业的最大设备制造商之一)的ATM模型中使用的驱动程序中的漏洞。该驱动程序使应用程序可以访问该系统的各种x86 I/O端口。

ATM本质上是具有专用外围设备(如读卡器、密码键盘、网络接口或通过各种通信端口连接的现金匣)的计算机。通过通过易受攻击的驱动程序访问I/O端口,攻击者可以潜在地读取ATM中央计算机与PCI连接的设备之间交换的数据。

此外,此驱动程序可用于更新BIOS,这是在操作系统之前启动并初始化硬件组件的计算机的低级固件。通过利用此功能,攻击者可以部署BIOS rootkit,该rootkit将在重新安装操作系统后幸免,从而导致高度持久的攻击。

据研究人员所知,尚未有人在任何实际攻击中利用此漏洞,但基于与Diebold的讨论,他们认为在其他ATM模型和POS系统中使用了相同的驱动程序。Diebold与研究人员合作,并于今年早些时候发布了补丁。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。