-
añadir a favoritos
Cuando “lo mejor” es enemigo de “lo bueno”
jueves 19 de abril de 2018
En caso de usar un equipo moderno, Vd. por supuesto habrá oído alguna vez hablar de las siglas UEFI. Y si no, es muy probable que esta tecnología se use en su PC. ¿Qué es esto y cómo puede ayudar a los malintencionados?
UEFI (Unified Extensible Firmware Interface) – es una tecnología bastante antigua, desarrollada aún en el año 2005. Actualmente está previsto poder usar UEFI en vez de BIOS (Basic Input Output System). Es decir, UEFI – es BIOS de nueva generación y al encender el equipo busca el hardware disponible, comprueba su configuración e inicia el sistema operativo. Pero, a diferencia de BIOS, UEFI BIOS tiene más posibilidades.
Por ejemplo, UEFI incluye SecureBoot – una tecnología software usando el cual, el firmware UEFI-compatible puede verificar la autenticidad de los componentes externos ejecutados (de arranque, controladores y UEFI OptionROM'ов) usando la firma digital. Si no hay firma o si la misma es ilegítima, esto permite rechazar el inicio de componentes que no son de confianza.
Se suponía que la presencia de SecureBoot excluirá completamente la posibilidad de uso de componentes nocivos porque los mismos no tendrán firma digital. Pero en realidad no es así, y se encontraron posibilidades de atacar el arranque.
Dmitry Olesyuk, al analizar el firmware del portátil Lenovo ThinkPad T450s detectó una vulnerabilidad importante en UEFI que permitía ejecutar el código en modo SMM (System Management Mode), de mayor prioridad que el modo hipervisor y el anillo cero de protección, y que tiene acceso no restringido a toda la memoria del sistema. La ejecución del código en modo SMM permite desactivar el bloqueo escritura en Flash y modificar el firmware para desactivar la comprobación de Secure Boot o esquivar las restricciones del hipervisor.
Inicialmente, el problema apareció en el código maestro del firmware para la serie 8 del chipset Intel, y luego fue trasladado al firmware de Lenovo y de otros productores. Así mismo, en el firmware original de Intel el problema fue corregido aún en el año 2014. Además de Lenovo, el problema ya está confirmado en los portátiles HP Pavilion y en las placas madre Gigabyte. Según los datos de la empresa Lenovo, el firmware vulnerable fue desarrollado por uno de los tres productores más importantes de BIOS (no se indica el nombre del suministrador).
El prototipo funcional del exploit fue preparado para el controlador UEFI SystemSmmRuntimeRt y funciona en todas las series de portátiles Lenovo ThinkPad, a partir de X220. El exploit es una aplicación UEFI que se inicia desde UEFI shell, pero no se excluye la posibilidad de crear exploits que se ejecutan desde el entorno del sistema operativo (para iniciar, se requieren los permisos de administrador).
Siempre es así: cuando más código hay, mayores son las posibilidades de vulnerabilidades.
Vamos a empezar por SMM Incursion Attack, mencionado por maseal en un comentario a la primera parte. Uso la palabra “modernos” entre comillas porque este ataque es bastante antiguo, por primera vez fue mencionado aún en el año 2008 como un problema de BIOS de aquel entonces, pero en el año 2015 lo volvieron a descubrir Corey Kallenberg y Xeno Kovah. Este ataque es muy simple — si el procesador SMI inicia algún código fuera de SMRAM, un atacante con permisos de escritura en la memoria física puede suplantar el código iniciado por su propio código y ejecutarlo de la misma forma en modo SMM. Y como los desarrolladores de UEFI estaban acostumbrados a la disponibilidad de servicios EFI Runtime, estos servicios se abrían de forma estable desde los procesadores SMI (frecuentemente eran GetVariable, SetVariable y ResetSystem). Muchos sistemas se sometieron a la vulnerabilidad. En mi opinión, si la build date de su UEFI es antes de mayo-junio de 2015, en el mismo seguramente hay un par de procesadores SMI vulnerables a este ataque. Es muy difícil limpiar el sistema de estos procesadores porque anteriormente este comportamiento no se consideraba vulnerable y hasta ahora llegan actualizaciones para controladores runtime, sometidas a este problema.
https://habrahabr.ru/post/267197
Hay muchas posibilidades de ataques y no podemos mencionarlo todo en una sola edición. Además, la descripción de vulnerabilidades a este nivel requiere información detallada casi sobre cada término.
#tecnologías #exploit #vulnerabilidadEl mundo de antivirus recomienda
¿Por qué hemos dedicado una edición entera a este problema? La historia de UEFI es un buen ejemplo de una idea prometedora que se desarrollaba durante muchos años antes de que los productos basados en la misma aparecieran en el mercado. Como suponían sus desarrolladores, esta idea aseguraba una protección multinivel, pero ofreció muchas posibilidades a los malintencionados, desconocidas en la época de BIOS. Estas posibilidades se realizan con poca frecuencia, pero solo porque es mucho más fácil ganar dinero usando Adware y cifradores y los creadores de virus, al igual que todos los delincuentes, prefieren ganar dinero fácil.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
10:49:11 2018-08-07