UEFI

Чем ближе находится уровень аб­ст­рак­ции при­ло­же­ния к ре­аль­но­му ап­па­рат­но­му обес­пе­че­нию, тем боль­ше воз­мож­но­стей как по уп­рав­ле­нию «же­ле­зом», так и по до­сту­пу к не­до­ку­мен­ти­ро­ван­ным фун­к­ци­ям.

Компания American Megatrends объявила о го­тов­нос­ти по­став­лять ми­кро­код для встро­ен­ных кон­т­рол­ле­ров (Em­bedd­ed Cont­rol­ler, EC), на­це­лен­ный на под­держ­ку eSPI-ши­ны. Но­вый низ­ко­у­ров­не­вый про­дукт от AMI при­зван пол­но­стью за­ме­нить про­грам­мную мо­дель конт­рол­лера кла­ви­а­ту­ры, раз­ра­бо­тан­ную еще в прош­лом ве­ке на за­ре раз­ви­тия x86-ар­хи­тек­ту­ры.

Ранее эти два решения су­ще­ст­во­ва­ли па­рал­лель­но — на не­ко­то­рых плат­фор­мах ин­фор­ма­ция о EC BIOS и вер­сия этой про­шив­ки бы­ли до­ступ­ны в ус­та­нов­ках UEFI. Под­дер­жи­вая мно­гие ус­та­рев­шие ре­ше­ния, в чис­ле ко­то­рых — об­мен дан­ны­ми по ши­не LPC, та­кая ар­хи­тек­ту­ра ме­ша­ла раз­ви­тию со­вре­мен­ных плат­форм. Кто-то дол­жен был ус­ту­пить. Про­иг­рав­шим про­гно­зи­ро­ва­но стал кон­т­рол­лер кла­ви­а­ту­ры.

Несанкционированная модификация кода BIOS, за­пи­сан­но­го в по­сто­ян­ное за­по­ми­на­ю­щее уст­рой­ст­во, ста­ла оче­вид­ной с по­яв­ле­ни­ем ви­ру­са CIH. Око­ло двад­ца­ти лет на­зад воз­дей­ст­вие зло­вред­но­го соф­та но­си­ло толь­ко де­струк­тив­ный ха­рак­тер: ре­зуль­та­том ра­бо­ты ви­ру­са бы­ло раз­ру­ше­ние со­дер­жи­мо­го Flash ROM и, как след­ст­вие, — пол­ный вы­вод из строя ап­па­рат­ной плат­фор­мы. Тон­кие «хи­рур­ги­че­ские» сце­на­рии вне­д­ре­ния по­сто­рон­не­го ко­да, со­хра­ня­ю­щие ба­зо­вую ра­бо­то­спо­соб­ность ата­ку­е­мой сис­те­мы, упи­ра­лись в уни­фи­ка­цию вну­т­рен­ней струк­ту­ры Le­ga­cy BIOS. Ре­ше­ние та­кой за­да­чи пред­став­ля­лось весь­ма тру­до­ем­ким и тре­бо­ва­ло уче­та ин­ди­ви­ду­аль­ных осо­бен­но­стей каж­дой плат­фор­мы.

События, связанные с анализом зло­вред­но­го ПО под наз­ва­ни­ем Lo­Jax, да­ли по­вод го­во­рить о не­го­тов­нос­ти ан­ти­ви­рус­ных про­дук­тов к мак­си­маль­но бы­ст­рой ре­ак­ции на вы­зо­вы ха­ке­ров, на­прав­лен­ные на вне­дре­ние в код UEFI. В пресс-ре­ли­зе ESET, по­свя­щен­ном уяз­ви­мос­ти Lo­Jax пер­во­на­чаль­но пре­у­мень­ша­лась сте­пень уг­ро­зы: на пу­ти вре­до­нос­ных свойств ви­ру­са, яко­бы, сте­ной вста­ла фун­к­ци­о­наль­ность Se­cu­re Bo­ot.

Для того чтобы понять, поддерживает платформа заданный тип про­цес­со­ра выполнять натурный эксперимент совершенно не обя­за­тель­но. В от­сут­ст­вие cpu compatibility list достаточно заглянуть в файл UEFI ис­сле­ду­е­мой ма­те­рин­ской платы. Если это AMIBIOS, про­це­ду­ру можно вы­пол­нить с по­мо­щью BIOS Configuration Program, бо­лее из­вест­ной по аб­бре­ви­а­ту­ре AMI­BCP. Современные версии AMIBIOS строятся на основе ядра Aptio V, для них подходит версия AMIBCP, на­чи­на­ю­ща­я­ся с цифры «5».