Новости про UEFI

Модификация под названием NvStrapsReBar включает поддержку ReBAR на видеокартах серий GeForce GTX 16 и RTX 20. К сожалению, серия NVIDIA GTX 10 не поддерживается.

Наши коллеги из KitGuru опробовали поддержку Resizable BAR на старых видеокартах, и она работает. Однако при этом она даёт очень незначительное увеличение производительности, поэтому применение модификаций для UEFI остаётся сомнительным.

С другой стороны, если для вас даже небольшой прирост производительности важен, то вы можете попробовать NvStrapsReBar, поскольку официальных патчей от NVIDIA для поддержки ReBAR на видеокартах GTX 10/16/RTX 20 ожидать не приходится.

Названный MoonBounce, этот буткит отличается от большинства аналогов. В то время, как другие буткиты размещаются в разделе жёсткого диска ESP (EFI System Partition), где обычно и хранится некоторый код UEFI, этот зловред заражает память SPI, которая расположена на материнской плате.

Для гарантии удаления традиционных буткитов достаточно переустановить операционную систему с полным удалением всех разделов, однако в данном случае это не поможет. Чтобы избавиться от MoonBounce нужно физически заменить микросхему SPI, перепрошить её, или заменить материнскую плату.

По данным Kaspersky буткит MoonBounce является третьим UEFI-зловредом, который может существовать внутри памяти SPI. Ранее были выявлены буткиты LoJax и MosaicRegressor.

Кроме того, в январе исследователи также обнаружили буткиты ESPectre, FinSpy's UEFI bootkit и прочие. Это привело специалистов Kaspersky к выводу, что ранее невозможный тип вредоносного ПО теперь уже становится нормой.

Технология под названием Intel Seamless Update, которая появится в будущих платформах, стала известной благодаря патчам ядра операционной системы Linux. С помощью этой технологии Intel сможет устанавливать обновления системных прошивок, такие как UEFI, на работающей системе и без необходимости перезагрузки.

Данная технология нацеливается на пользователей, которые имеют высокий аптайм и не приемлют перезагрузки, то есть для серверов. Традиционно обновление прошивки требует перезагрузки. Это останавливает работу серверов на несколько минут и потенциально влияет на стабильность работы компаний и облачных решений. В то же время Intel Seamless Update позволит избежать перезагрузки за счёт установки нового BIOS в процессе работы. Благодаря такому подходу промышленные и корпоративные клиенты смогут не откладывать обновления, а устанавливать их сразу по доступности, максимально быстро реагируя на возникающие проблемы безопасности.

Возможно, что после того, как технология будет обкатана на серверах, она появится и для бытовых потребителей.

За 700 долларов вы получите эту машину с предустановленной версией Linux PureOS. Однако этот компьютер выгодно отличается от конкурирующих решений. Дело в том, что в этой машине вместо Secure Boot используется бесплатная альтернатива PureBoot. Кроме того, вместо BIOS можно использовать его открытую замену Coreboot. Так что, если вы хотите использовать альтернативные прошивки, то теперь совсем необязательно искать совместимые материнские платы и иметь риск «окирпичивания» устройства. Достаточно просто воспользоваться предложением Purism.

В аппаратном плане предлагается вполне производительная машина, основанная на процессоре Intel Core i7-8565U (4 ядра, 8 потоков, 4,64 ГГц) с активным охлаждением, памятью DDR4-2400 SO-DIMM (до 64 ГБ) и накопителями 1хSATA III 6Gbps SSD/HSS (7 мм), 1хM.2 SSD (SATA III/NVMe x4). Из интерфейсов имеются 1 выход HDMI 2.0 b 1 выход DisplayPort 1.2. Также есть 4 порта USB 3.0, пара USB 2.0 и один Type-C 3.1, 3,5 мм аудиовыход и сетевой разъём Gigabit Ethernet LAN. Wi-Fi-подключение осуществляется модулем Atheros ATH9k Module, 802.11n (2.4/5.0 ГГц).

Габариты компьютера равны 12,8×12,8×3,8 см, а масса — 1 кг.

Система Windows Defender System Guard защищает от атак в прошивке, гарантируя безопасную загрузку посредством аппаратных решений в области безопасности, включая аттестацию на уровне гипервизора и технологии Secure Launch, известной как Dynamic Root of Trust (DRTM), которая включает безопасное ядро на ПК по умолчанию. Новый движок сканирования UEFI распространяется на эти защиты, делая сканирование прошивки более широкой практикой.

Сканер UEFI является новым компонентов встроенного в Windows 10 антивируса. Он даёт Microsoft Defender ATP уникальную возможность сканирования файловой системы прошивки и выполнять обслуживание в области безопасности.

Система Tails OS создана на основе Debian, однако полностью переработана для обеспечения максимальной безопасности. Её запуск осуществляется только со съёмного накопителя, и она не оставляет никаких следов на основном компьютере. В ней все подключения к интернету осуществляются через Tor.

И вот, последнее обновление Tails OS 4.5 получило поддержку UEFI Secure Boot, которую можно найти в большинстве ОС. Безопасная загрузка использует криптографическую защиту для проверки целостности файлов прошивки, загружаемых при запуске системы, и гарантирует, что они не были изменены.

Эта технология является частью спецификации UEFI более двух десятилетий, однако используется нечасто из-за проблем с совместимостью. Несмотря на это, сам факт отсутствия безопасной загрузки в самой безопасной ОС настораживал. Ну а если Secure Boot на компьютере использовался, то чтобы запустить Tails OS приходилось его выключать, что усложняло применение системы.

Работа над внедрением Secure Boot в Tails OS длилась 6 лет, и теперь, она завершена и готова к использованию.

Фредерик Вахон, исследователь вредоносного ПО в ESET, опубликовал технический отчёт по этому руткиту, назвав уязвимость «значительной».

Поражение UEFI означает, что зловред может выживать во флэш-памяти материнской платы, оставаясь неуязвимым и скрытым при переустановке ОС. При этом впервые выявлен активно действующий зловред такого типа, хотя возможность его существования предполагалась ещё на этапе разработки концепции UEFI.

Руткит получил имя LoJax. Он является модифицированной версией утилиты LoJack от Absolute Software. Эта утилита, внедряясь в UEFI, предназначена для поиска украденных ноутбуков и позволяет тайно отследить местоположение устройства. В рутките применяется код утилиты образца 2009 года, который имел ошибки, позволившие Sednit получать доступ к загрузке ПО восстановления, для чего потребовалось изменить единственный байт.

Цепь заражения традиционна. Атакующие через фишинг принуждают пользователя запустить файл rpcnetp.exe, который затем добирается до браузера Internet Explorer, используемого для связи с доменами конфигурации.

Вахон пояснил: «Как только я захожу на машину, я могу использовать этот инструмент для размещения руткита в UEFI». Хакерский инструмент имеет привилегии поставщика прошивки, что позволяет удалённо перешить BIOS. Он добавил: «Руткит UEFI расположен во флэш-памяти в зоне BIOS, ответственной за последовательный интерфейс (SPI)».

Концепция получила название Firmware as a Service (FaaS). Она выпущена с открытым исходным кодом. Под прошивкой понимается UEFI, который отвечает за загрузку и обеспечивает базовый функционал для работы операционной системы. Система будет похожа на платформу TianoCore EDK II, которая также поддерживает разработку UEFI с открытым исходным кодом.

Изначально платформа FaaS применялась Microsoft на устройствах Surface. Но теперь компания поняла, что реализация TainoCore ей не подходит для множества различных продуктов и форм-факторов. Для решения проблемы был создан Project Mu, «демонстрирующий структуру кода и процесс разработки для эффективно построенной масштабируемой и обслуживаемой прошивки».

После нескольких циклов использования Project Mu, компания Microsoft заявляет, что платформа позволяет создать код и структуру, оптимизированные для Firmware as a Service; поддерживает экранную клавиатуру; поддерживает управление безопасностью в UEFI; улучшает безопасность за счёт отказа от ненужного наследного кода; обеспечивает высокоскоростную загрузку; предлагает современные примеры меню BIOS и различные средства проверки качества.

Компания также отметила, что, во-первых, Project Mu не является чем-то сторонним, в нём применяется тот же код, что использует сама Microsoft. А во-вторых, компания хочет развивать совместную разработку, чтобы партнёры могли построить качественный продукт, сократив затраты.

Происходит это при чистой установке на систему без доступа к сети. При этом в правом верхнем углу экрана появляется окно с предложением установить сетевой драйвер и загрузить пакет Asus Armoury Crate.

Проведя небольшое расследование наши коллеги выявили в папке System32 три файла, подписанных Asus, а также запущенный сервис AsusUpdateCheck. Далее был проведен анализ ПО, хранящегося в 16 МБ микросхеме UEFI, и оказалось, что установка драйверов является функцией материнской платы. В настройках UEFI был найден пункт «Загружать и устанавливать Armoury Crate App», который включён по умолчанию.

Что происходит. Прошивка Asus UEFI добавляет таблицу ACPI в Windows 10, которая копирует данные из BIOS в папку System32,чтобы исполняться каждый раз при загрузке ОС.

Надо сказать, сами исследователи испытали смешанные чувства от новой функции. С одной стороны — это полезная функция, которая позволяет добавить в ОС драйверы, которых нет в дистрибутиве, в частности, сетевой драйвер, который не поддерживается Windows 10 из коробки.

Но с другой стороны — это программное обеспечение устанавливается без информирования пользователей. В связи с чем могут возникнуть проблемы в безопасности и приватности, если злоумышленники смогут найти уязвимости в данном процессе. Удалить установленное ПО без предварительного отключения опции «Загружать и устанавливать Armoury Crate App» в UEFI материнской платы невозможно.

Новая утилита для стресс тестирования системы будет встраиваться непосредственно в BIOS, заметно облегчая ручной и автоматический разгон процессора. Таким образом, тестирование стабильности будет проводиться без необходимости установки и загрузки ОС, а также многочисленных циклов перезагрузки для корректировки параметров и последующего тестирования.

Скорее всего новая функция появится в хай-энд платах. Сам же тест будет близок к Prime95, а в ходе тестирования будет отображаться частота, напряжение и температура процессора.

Отличное решение, и я не удивлюсь, если в скором времени и другие производители материнских плат включат различные тесты прямо в UEFI.