Уязвимость UEFI делает компьютер беззащитным


31-й Всемирный конгресс хакеров состоялся под эгидой компьютерного клуба «Хаос»

Специалисты по компьютерной безопасности Рафаил Войчук и Кори Каленберг продемонстрировали на 31-м Всемирном конгрессе хакеров два кейса уязвимости UEFI-интерфейса, открывающих неограниченные возможности для зловредных вирусов. Знаменательное событие для всех, кто увлекается реверсным программированием, состоялось в канун 2015 года в Кёльне под эгидой компьютерного клуба «Хаос» (Chaos Computer Club). Атака на контроллер, управляющий доступом к чипу UEFI BIOS, получила название Speed Racer, а второй тип уязвимости обнаружен при переходе компьютерной платформы в один из режимов энергосбережения.

 

 

Гонки на опережение

Смысл атаки под названием Speed Race состоит в соревновании с компанией Intel — кто быстрее воспользуется «дырой» в работе SPI-контроллера, управляющего доступом к микросхеме, где хранится код UEFI BIOS. Для защиты кода от зловредных поползновений в чипсете Intel 9-й серии бит SMM_BWP (System Management Mode BIOS Write Protect), устанавливает защиту от записи в микросхему BIOS. Как дополнительная мера, вводится еще и защита от модификация SMM_BWP. При старте UEFI устанавливает этот бит, а затем переводит в режим Read Only, и вредоносное программное обеспечение не в состоянии изменить его значение. Вследствие чего перезапись BIOS возможна только в режиме SMM, а блокировка снимается только после аппаратного сброса.

 

 

Очевидно, что чипсет дает эффективный метод защиты от несанкционированного доступа. Пользуется ли им системная плата — это вопрос, который следует задать ее производителю и разработчику UEFI BIOS. Войчук и Каленберг блестяще продемонстрировали ряд аппаратных платформ, у которых обнаружена зияющая брешь уязвимости. Среди них ноутбуки Dell Latitude и HP EliteBook, а также настольный компьютер на базе системной платы Intel DQ57TML (см. Speed Racer).

Атака на UEFI при выходе из сна

Накал страстей можно приглушить новой версией UEFI BIOS, лишенной выше указанного недостатка. Но, к сожалению, перечень проблем на этом не заканчивается. Войчук и Каленберг утверждают, что и без Speed Race персональные платформы подвержены риску вирусной атаки. На сей раз — за счет использования протокола EFI_BOOT_SCRIPT, предназначенного для сохранения и восстановления контекста платформы при переходе в состояние сна (ACPI S3) и возврате из него.

 

 

На определенных этапах этого процесса существует возможность модифицировать образы регистровых полей, сохраняемые в оперативной памяти. Это приведет к тому, что после возврата из состояния ACPI S3 из оперативной памяти будет загружено некорректное состояние чипсета, модифицированное вредоносным кодом. Получается, что не мытьём, так катаньем: если нельзя изменить содержимое защищенных регистров в чипсете, тогда можно изменить их образ, хранящийся в оперативной памяти во время состояния ACPI S3. Конечно, когда  питание процессора CPU отключено, этого сделать нельзя, но на определенных этапах засыпания и пробуждения такая возможность есть. К чему это приводит, можно прочитать здесь.

Теги: