r   e   k   l   a   m   a
r   e   k   l   a   m   a

UEFI komputerków Gigabyte z ransomware. Łatkę dostanie tylko najnowszy

Strona główna AktualnościBEZPIECZEŃSTWO

Gigabyte BRIX cieszą się sporym zainteresowaniem u tych, którzy chcą postawić na biurku czy koło telewizora mały, zgrabny komputerek – tym bardziej, że pod wieloma względami wypadają lepiej niż komputerki NUC Intela. Podczas tegorocznej konferencji BlackHat Asia okazało się też, że nieźle sprawdzają się do przechowywania w swoim UEFI/BIOS złośliwego oprogramowania. Tak, to już nie tylko teoria. Bez fizycznego dostępu można uzyskać dostęp do firmware komputera i umieścić w nim ransomware. Powodzenia z jego usunięciem.

Od razu należy zastrzec, że praca badaczy z firmy Cylance to tylko przykład takiego ataku i wcale ujawnione podatności nie oznaczają, że inne komputery z UEFI są odporne. Na pewno jednak modele komputerków Gigabyte GB-BSi7H-6500 (firmware do wersji F6) i Gigabyte GB-BXi7-5775 (firmware do wersji F2) pozwalają na zainstalowanie w ich UEFI furtki, przez którą możliwe staje się wykonywanie dowolnego kodu w trybie zarządczym komputera (SMM).

Taki atak na UEFI składa się z czterech etapów. W pierwszym wystarczy wykorzystać słabość jakieś aplikacji działającej w przestrzeni użytkownika (Ring 3), np. przeglądarki, za pomocą której ofiara odwiedzi stronę ze złośliwym kodem. Napastnik na tym etapie musi wykorzystać kolejną lukę (jakiej na niezałatanych Windowsach przecież niemało) do podwyższenia swoich uprawnień i uruchomienia kodu z uprawnieniami kernela (Ring 0). Tam czeka na niego uchwyt SMI, tj. przerwanie systemu zarządczego, otwierające drogę do wydzielonej przestrzeni adresowej, normalnie niedostępnej dla kernela, a tym bardziej aplikacji (tzw. Ring -2). Tam można już obejść ochronę przed zapisem firmware i zainstalować w UEFI własny kod.

r   e   k   l   a   m   a

Łatwo? Trudno, na tyle trudno, że instalowanie furtek w firmware do tej pory było uważane za teoretyczne zagrożenie, być może gdzieś tam stosowane przez NSA. Badacze Cylance pokazali jednak, że wystarczą zaniedbania producentów sprzętu. Specyfikacja UEFI przewiduje bowiem mechanizmy ochronne przed takim atakiem, takie jak BIOS Lock Enable (BLE) oraz SMM BIOS Write Protection (SMM_BWP) – ale co z tego? Specyfikacja jedno, implementacja drugie.

Po pierwsze, wykorzystanie SMI fuzzera z zestawu narzędzi CHIPSEC pozwoliło odkryć, że zastosowany uchwyt SMI niepoprawnie waliduje wskaźniki wejścia, pozwalając uruchomić własny kod w Ring -2. No cóż, ten kod jednak nie powinien móc zmienić zawartości firmware… a jednak mógł. Używane przez Gigabyte firmware zostało przygotowane przez dobrze znane American Megatrends (AMI), które z jakiegoś powodu zapomniało o włączeniu wspomnianych mechanizmów ochronnych.

Najlepsze jednak na koniec. Tak naprawdę wcale nie trzeba było specjalnie kombinować z exploitami dla przeglądarek i podwyższaniem uprawnień. Jest otóż takie narzędzie jak AMI Firmware Update, które jak nazwa wskazuje, służy do aktualizacji firmware. Okazało się, że UEFI Gigabyte’a nie weryfikuje kryptograficznie przesłanych mu obrazów, a same obrazy przesyłane są po nieszyfrowanych połączeniach HTTP. W tej sytuacji nawet z włączonymi wszystkimi zabezpieczeniami, można po prostu podać takiemu komputerowi wszystko, co chcemy.

Przygotowany atak wykorzystywał e-mail z załącznikiem – dokumentem Worda, w którym osadzono dropper w powershellu. Dropper pobiera oficjalne narzędzie aktualizacji (flasher.exe), które nawet nie jest rozpoznawane przez antywirusy jako coś groźnego, a ono uruchamia aktualizację, oczywiście ze spreparowanym ładunkiem, podrzuconym przez napastników. Po aktualizacji komputer restartuje, a zarażony sterownik DXE (Driver Execution Enviroment) blokuje dalsze uruchamianie systemu i wyświetla komunikat ransomware. W ten sposób udało się zarazić najnowszy sprzętu z włączonym BIOS Lock, działający pod kontrolą najnowszego Windows 10 Enterprise ze wszelkimi możliwymi zabezpieczeniami Microsoftu (VBS, Device Guard, Secure Boot).

Co na to Gigabyte? Komputerek GB-BSi-7H-6500 otrzyma łatkę w firmware F7, usuwającą odkryte podatności. Komputerek GB-BXi7-5775 nowego firmware jednak nie dostanie. Nie jest już wspierany. Niezła informacja – możecie mieć Windows 10 aktualizowane jeszcze wiele lat, a i tak to wszystko na nic, bo wsparcie dla firmware waszego peceta skończyło się po dwóch latach.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.