Новости про UEFI и безопасность

Названный MoonBounce, этот буткит отличается от большинства аналогов. В то время, как другие буткиты размещаются в разделе жёсткого диска ESP (EFI System Partition), где обычно и хранится некоторый код UEFI, этот зловред заражает память SPI, которая расположена на материнской плате.

Для гарантии удаления традиционных буткитов достаточно переустановить операционную систему с полным удалением всех разделов, однако в данном случае это не поможет. Чтобы избавиться от MoonBounce нужно физически заменить микросхему SPI, перепрошить её, или заменить материнскую плату.

По данным Kaspersky буткит MoonBounce является третьим UEFI-зловредом, который может существовать внутри памяти SPI. Ранее были выявлены буткиты LoJax и MosaicRegressor.

Кроме того, в январе исследователи также обнаружили буткиты ESPectre, FinSpy's UEFI bootkit и прочие. Это привело специалистов Kaspersky к выводу, что ранее невозможный тип вредоносного ПО теперь уже становится нормой.

Система Windows Defender System Guard защищает от атак в прошивке, гарантируя безопасную загрузку посредством аппаратных решений в области безопасности, включая аттестацию на уровне гипервизора и технологии Secure Launch, известной как Dynamic Root of Trust (DRTM), которая включает безопасное ядро на ПК по умолчанию. Новый движок сканирования UEFI распространяется на эти защиты, делая сканирование прошивки более широкой практикой.

Сканер UEFI является новым компонентов встроенного в Windows 10 антивируса. Он даёт Microsoft Defender ATP уникальную возможность сканирования файловой системы прошивки и выполнять обслуживание в области безопасности.

Система Tails OS создана на основе Debian, однако полностью переработана для обеспечения максимальной безопасности. Её запуск осуществляется только со съёмного накопителя, и она не оставляет никаких следов на основном компьютере. В ней все подключения к интернету осуществляются через Tor.

И вот, последнее обновление Tails OS 4.5 получило поддержку UEFI Secure Boot, которую можно найти в большинстве ОС. Безопасная загрузка использует криптографическую защиту для проверки целостности файлов прошивки, загружаемых при запуске системы, и гарантирует, что они не были изменены.

Эта технология является частью спецификации UEFI более двух десятилетий, однако используется нечасто из-за проблем с совместимостью. Несмотря на это, сам факт отсутствия безопасной загрузки в самой безопасной ОС настораживал. Ну а если Secure Boot на компьютере использовался, то чтобы запустить Tails OS приходилось его выключать, что усложняло применение системы.

Работа над внедрением Secure Boot в Tails OS длилась 6 лет, и теперь, она завершена и готова к использованию.

Фредерик Вахон, исследователь вредоносного ПО в ESET, опубликовал технический отчёт по этому руткиту, назвав уязвимость «значительной».

Поражение UEFI означает, что зловред может выживать во флэш-памяти материнской платы, оставаясь неуязвимым и скрытым при переустановке ОС. При этом впервые выявлен активно действующий зловред такого типа, хотя возможность его существования предполагалась ещё на этапе разработки концепции UEFI.

Руткит получил имя LoJax. Он является модифицированной версией утилиты LoJack от Absolute Software. Эта утилита, внедряясь в UEFI, предназначена для поиска украденных ноутбуков и позволяет тайно отследить местоположение устройства. В рутките применяется код утилиты образца 2009 года, который имел ошибки, позволившие Sednit получать доступ к загрузке ПО восстановления, для чего потребовалось изменить единственный байт.

Цепь заражения традиционна. Атакующие через фишинг принуждают пользователя запустить файл rpcnetp.exe, который затем добирается до браузера Internet Explorer, используемого для связи с доменами конфигурации.

Вахон пояснил: «Как только я захожу на машину, я могу использовать этот инструмент для размещения руткита в UEFI». Хакерский инструмент имеет привилегии поставщика прошивки, что позволяет удалённо перешить BIOS. Он добавил: «Руткит UEFI расположен во флэш-памяти в зоне BIOS, ответственной за последовательный интерфейс (SPI)».

Разработчик Intel Брайан Ричардсон в ходе конференции the Fall 2017 UEFI Plugfest сообщил аудитории, что будущая клиентская и ЦОД платформы компании будут поддерживать эксклюзивно UEFI Class 3.

Этот шаг остановит все попытки пользователей в отключении UEFI. Компьютеры больше не смогут поддерживать 16-битные ОС. Но более важно то, что нельзя будет отключить Secure Boot, что, несомненно, повлечёт невозможность загрузки целого ряда операционных систем, поскольку они, в отличие от Windows, не имеют ключей Secure Boot. Многие дистрибутивы Linux не способны загружаться в Secure Boot, не говоря уже о малоизвестных системах и системах, разрабатываемых сообществами в качестве хобби.

Ошибка в UEFI, выявленная исследователем Дмитром Олексюком, позволяет отключить защиту от записи прошивки, что открывает путь к её инфицированию.

Автор исследования назвал ошибку ThinkPwn. Он отметил, что впервые она была выявлена на ноутбуках ThinkPad. Установлено, что в своей основе этот баг опирается на референсный код от Intel, и именно поэтому и было сделано заявление, что подобная уязвимость может существовать и в компьютерах других производителей.

«Запуск на определённой машине кода System Management Mode позволяет атакующему отключить защиту от записи во флеш и инфицировать прошивку платформы, отключить Secure Boot, обойти Virtual Secure Mode (Credential Guard, и т.п.) на Windows 10 Enterprise и делать прочие опасные вещи», — отметил Олексюк.

Компания Lenovo работает над исправлением данной проблемы, заявив, что это проблема «охватывающая всю индустрию».