统一可扩展固件接口(UEFI)的安全启动安全机制,可以在一半左右,为安装bootkits已启用此功能的计算机被绕过,根据安全研究人员。
在哈克在阿姆斯特丹箱2014安全会议上,科里Kallenberg,从非营利研究机构米特一名安全研究人员,也显示周四,它可能通过直接从OS修改特定的UEFI变量来使某些系统无法使用,问题可能在cybersabotage攻击很容易被利用。
UEFI被设计为传统BIOS的替代品(基本输入/输出系统),其目的是通过参考规范,原始设备制造商和BIOS供应商可以使用规范的现代计算机的固件。然而,在现实中可以在UEFI是如何实现的显著差异,不仅在不同的电脑制造商,但即使隔着来自同一供应商不同的产品,Kallenberg说。
去年,英特尔和斜切的研究人员共同发现从美国Megatrends,由许多OEM使用的BIOS供应商的UEFI实现的问题,Kallenberg说。特别是,研究人员发现,被称为设置一个UEFI变量是没有适当的保护,并可以通过具有管理权限运行的进程可以从操作系统修改。
修改设置变量以特定方式允许安全引导的旁路,一个UEFI安全功能旨在防止bootkits,这是rootkit的是隐藏在系统的引导程序和实际OS之前启动的安装。安全引导工作通过检查引导程序进行数字签名和预先批准的白名单在执行前。
Bootkits多年来一直严重威胁。在2011年,卡巴斯基实验室的安全研究人员称TDL版本4,恶意程序感染计算机的主引导记录(MBR),已经感染了超过450万台电脑,并把它称为世界上最复杂的威胁。迈克菲报道在2013年说的是感染MBR的恶意软件威胁的数量已经达到了一个历史新高。
除了绕过安全引导,未保护的设置变量也可以如果攻击者其值设置为0用于“砖”系统,Kallenberg首次揭示星期四。如果发生这种情况,受影响的电脑将无法再次启动。
从这样的攻击中恢复将是艰难和费时的,因为它涉及到重新编程的BIOS芯片,它需要人工干预和专用设备,研究人员说。
攻击可以从OS的运行的恶意软件推出具有管理权限,有可能被用来破坏组织的计算机。当这种破坏性袭击发生这不会是第一次。
在2012年4月,伊朗石油部和国家的国有石油公司击中了与数据擦除恶意软件从他们的一些系统中删除的信息。几个月后,8月份,一个黑客小组使用恶意软件禁用30000个工作站属于沙特阿美石油公司,国家石油公司沙特阿拉伯。
除了设置变量的问题,其中美国Megatrends自定,Kallenberg呈现另一种方式来绕过安全引导,从原始设备制造商没有使用他们的UEFI实现所谓SMI_LOCK安全机制造成的。
如果没有这个保护功能允许在内核中运行的代码,就像一个系统驱动,以暂时抑制SMM(系统管理模式),并添加流氓进入预先核准的引导程序的列表信任的安全引导。当系统重新启动,然后,恶意引导程序将没有安全启动错误执行。
从斜角研究人员开发出一种名为哥白尼一个Windows软件代理,可以分析系统的BIOS / UEFI和报告不同的安全功能,它使用。他们跑在整个8000个系统的组织工具,发现其中的40%左右没有使用SMI_LOCK保护。
这些结果不能跨许多OEM代表,因为米特采用了大量特定Dell系统,Kallenberg说,但努力扩大组织外,现在大约20,000系统已被扫描。我们的目标是要扫描10万级的系统,并发布一份报告,研究人员说。
另一个问题是,即使在未来和SMI_LOCK保护客户的OEM版本的BIOS更新进行安装,Kallenberg估计,对系统的50%将有可能为攻击者从操作系统里面闪回旧的,未受保护的BIOS版本。
脱下SMM抑制攻击需要访问内核模式,也被称为0环,但是这不一定是攻击者的一个大问题,Kallenberg说。如果攻击者设法执行恶意软件具有管理权限的用户进程 - 病毒利用其他应用软件或操作系统本身漏洞 - 例如,他可以从上已知的合法硬件制造商安装一个较旧的数字签名的驱动程序有一个漏洞。由于在内核空间的驱动程序运行时,他可以再利用执行与环0特权恶意代码的漏洞,研究人员说。
还有其他芯片组的依赖关系,以抑制SMM和修改白名单仍在研究中的安全引导,但还没有准备好要公开披露,Kallenberg说。
在过去的一年OEM厂商已经开始付出更多的关注BIOS的安全性研究,并已开始作出反应,Kallenberg说。“我认为我们终于在一个地方,你会看到更多的OEM厂商重视这一点。”
在过去的调查BIOS安全问题是非常困难的,因为研究人员专门BIOS调试设备,使分析更容易的费用为$ 20,000,Kallenberg说。然而,UEFI的开放性让更多的研究人员寻找到这些问题,并有望在未来几年内最明显的漏洞会被识别和修复,他说。