UEFI komputerków Gigabyte z ransomware. Łatkę dostanie tylko najnowszy

Gigabyte BRIX cieszą się sporym zainteresowaniem u tych, którzychcą postawić na biurku czy koło telewizora mały, zgrabnykomputerek – tym bardziej, że pod wieloma względami wypadająlepiej niż komputerki NUC Intela. Podczas tegorocznej konferencjiBlackHat Asia okazało się też, że nieźle sprawdzają się doprzechowywania w swoim UEFI/BIOS złośliwego oprogramowania. Tak, tojuż nie tylko teoria. Bez fizycznego dostępu można uzyskać dostępdo firmware komputera i umieścić w nim ransomware. Powodzenia zjego usunięciem.

Od razu należy zastrzec, że praca badaczy z firmy Cylance totylko przykład takiego ataku i wcale ujawnione podatności nieoznaczają, że inne komputery z UEFI są odporne. Na pewno jednakmodele komputerków Gigabyte GB-BSi7H-6500 (firmware do wersji F6) iGigabyte GB-BXi7-5775 (firmware do wersji F2) pozwalają nazainstalowanie w ich UEFI furtki, przez którą możliwe staje sięwykonywanie dowolnego kodu w trybie zarządczym komputera (SMM).

Taki atak na UEFI składa się z czterech etapów. W pierwszym wystarczywykorzystać słabość jakieś aplikacji działającej w przestrzeniużytkownika (Ring 3), np. przeglądarki, za pomocą której ofiaraodwiedzi stronę ze złośliwym kodem. Napastnik na tym etapie musiwykorzystać kolejną lukę (jakiej na niezałatanych Windowsachprzecież niemało) do podwyższenia swoich uprawnień i uruchomieniakodu z uprawnieniami kernela (Ring 0). Tam czeka na niego uchwyt SMI,tj. przerwanie systemu zarządczego, otwierające drogę dowydzielonej przestrzeni adresowej, normalnie niedostępnej dlakernela, a tym bardziej aplikacji (tzw. Ring -2). Tam można jużobejść ochronę przed zapisem firmware i zainstalować w UEFIwłasny kod.

Łatwo? Trudno, na tyle trudno, że instalowanie furtek w firmwaredo tej pory było uważane za teoretyczne zagrożenie, być możegdzieś tam stosowane przez NSA. Badacze Cylance pokazali jednak, żewystarczą zaniedbania producentów sprzętu. Specyfikacja UEFIprzewiduje bowiem mechanizmy ochronne przed takim atakiem, takie jakBIOS Lock Enable (BLE) oraz SMM BIOS Write Protection (SMM_BWP) –ale co z tego? Specyfikacja jedno, implementacja drugie.

Po pierwsze, wykorzystanie SMI fuzzera z zestawu narzędzi CHIPSECpozwoliło odkryć, że zastosowany uchwyt SMI niepoprawnie walidujewskaźniki wejścia, pozwalając uruchomić własny kod w Ring -2. Nocóż, ten kod jednak nie powinien móc zmienić zawartościfirmware… a jednak mógł. Używane przez Gigabyte firmware zostałoprzygotowane przez dobrze znane American Megatrends (AMI), które zjakiegoś powodu zapomniałoo włączeniu wspomnianych mechanizmów ochronnych.

Najlepsze jednak na koniec. Tak naprawdę wcale nie trzeba byłospecjalnie kombinować z exploitami dla przeglądarek i podwyższaniemuprawnień. Jest otóż takie narzędzie jak AMI Firmware Update,które jak nazwa wskazuje, służy do aktualizacji firmware. Okazałosię, że UEFI Gigabyte’a nie weryfikuje kryptograficznieprzesłanych mu obrazów, a same obrazy przesyłane są ponieszyfrowanych połączeniach HTTP. W tej sytuacji nawet zwłączonymi wszystkimi zabezpieczeniami, można po prostu podaćtakiemu komputerowi wszystko, co chcemy.

Przygotowany atak wykorzystywał e-mail z załącznikiem –dokumentem Worda, w którym osadzono dropper w powershellu. Dropperpobiera oficjalne narzędzie aktualizacji (flasher.exe), które nawetnie jest rozpoznawane przez antywirusy jako coś groźnego, a onouruchamia aktualizację, oczywiście ze spreparowanym ładunkiem,podrzuconym przez napastników. Po aktualizacji komputer restartuje,a zarażony sterownik DXE (Driver Execution Enviroment) blokujedalsze uruchamianie systemu i wyświetla komunikat ransomware. W tensposób udało się zarazić najnowszy sprzętu z włączonym BIOSLock, działający pod kontrolą najnowszego Windows 10 Enterprise zewszelkimi możliwymi zabezpieczeniami Microsoftu (VBS, Device Guard,Secure Boot).

Co na to Gigabyte? Komputerek GB-BSi-7H-6500 otrzyma łatkę wfirmware F7, usuwającą odkryte podatności. Komputerek GB-BXi7-5775nowego firmware jednak nie dostanie. Nie jest już wspierany. Niezłainformacja – możecie mieć Windows 10 aktualizowane jeszcze wielelat, a i tak to wszystko na nic, bo wsparcie dla firmware waszegopeceta skończyło się po dwóch latach.