In che modo UEFI Secure Boot previene attacchi di spoofing "male twin"?

5

Ho imparato a conoscere UEFI Secure Boot . È progettato per impedire al malware di infettare il processo di avvio e sovrascrivere il bootloader. Dispone di protezioni a livello hardware per garantire che solo all'avvio sia caricato un bootloader firmato e affidabile e un kernel del sistema operativo.

Oggi il malware può sovrascrivere il Master Boot Record (MBR) con una versione malevola, in modo che ogni avvio successivo si trasformi in una versione malvagia del sistema operativo. UEFI Secure Boot lo impedirebbe, poiché la macchina eseguirà il bootloader solo se è stato firmato e il bootloader modificato dell'attaccante non avrà una firma valida. In altre parole, con UEFI Secure Boot, dovresti essere sicuro che, una volta riavviato, ora stai utilizzando un boot loader e un kernel del sistema operativo validi e affidabili. A volte le persone riassumono ciò dicendo che UEFI Secure Boot previene i "bootkit". OK, il concetto di base ha un senso.

Voglio capire cosa ferma il seguente tipo di attacco. Supponiamo che tu stia utilizzando Windows (ad esempio). Supponiamo che l'autore dell'attacco, che ha rilevato malware sul computer e voglia assicurarsi di rimanere residente dopo il riavvio, modifichi la configurazione di avvio di Windows per avviare una macchina virtuale (VM). All'interno della VM c'è un'immagine Windows modificata, proprio come un kernel e un sistema operativo Windows standard e un'immagine, fondamentalmente una copia completa di ciò che è sulla tua macchina, tranne che il kernel è stato modificato per inserirvi del malware. Quando si avvia, questa VM viene avviata automaticamente e (supponiamo) si avvia automaticamente in modalità a schermo intero.

Sembra che questo attacco sovverti gli obiettivi previsti di UEFI Secure Boot. Dal punto di vista dell'utente, sembra che stiano utilizzando Windows, nel loro ambiente desktop completo. Quello di cui non si rendono conto è che tutto il loro ambiente è stato infettato da malware. Certo, il sistema operativo host è affidabile (grazie a UEFI Secure Boot), ma il sistema operativo guest (all'interno della VM) è malevolo, e l'utente non ha modo ovvio di dire che sta interagendo con un ospite malvagio piuttosto che con il ospite. Quindi, l'utente penserà che tutto vada bene, quando in realtà vengono neutralizzati. Gli intenditori dei concetti di sicurezza lo riconosceranno come un attacco al "percorso fidato": il computer ha avviato un kernel affidabile, ma l'utente non ha modo di verificare che stiano interagendo con un kernel affidabile piuttosto che un "gemello cattivo" del tutto inaffidabile.

Qualcosa impedisce questo attacco? Oppure, questo attacco è tecnicamente fattibile? Se è fattibile, viola gli obiettivi di sicurezza o il modello di minaccia alla base di UEFI Secure Boot? (Più in generale, qualcuno ha una dichiarazione precisa degli obiettivi di sicurezza e del modello di minaccia alla base di UEFI Secure Boot, e esattamente cosa fa e non garantisce?)

    
posta D.W. 16.01.2013 - 08:21
fonte

1 risposta

4

L'attacco che descrivi sembra più un tipo di attacco da "colpo di diamante" (un po 'complicato per il criminale di tutti i giorni). Prima di rivolgersi a UEFI, volevo rispondere se fosse fattibile. No, non proprio. Se stiamo parlando di un server che esegue una VM, l'utente finale potrebbe non notare un problema di prestazioni (dati sufficienti risorse fisiche) ma più che probabile che il software di monitoraggio in atto rileverà un nuovo processo in esecuzione e un amministratore di sistema risponderebbe. Spero che un buon amministratore di sistema sia in grado di dire una volta che indaga.

Se fosse un utente desktop, molto probabilmente noterebbe molto rapidamente quando riavvia la sua macchina e sembra un po 'diversa. Supponendo che la VM possa spoofare il vecchio desktop, l'hardware installato e non visualizzare le informazioni sulla VM in esecuzione, potrebbe essere ingannato.

Ma penso che la domanda riguardasse più la tecnologia che l'individuo, quindi il mio pensiero sarebbe sì, sembra che questo tipo di attacco possa funzionare per i motivi che hai affermato: il sistema operativo host è sicuro e protetto da avvio. Il processo VM potrebbe essere nascosto all'interno di un altro processo (svchost, forse?) E sia gli strumenti utente che quelli di monitoraggio potrebbero essere ingannati (per un certo tempo).

La tua ultima domanda (cosa fa e cosa non garantisce) Ho trovato alcune informazioni nella home page link per UEFI . La risposta alla domanda "Cosa è UEFI" è:

UEFI (Unified Extensible Firmware Interface) will be a specification detailing an interface that helps hand off control of the system for the pre-boot environment (i.e.: after the system is powered on, but before the operating system starts) to an operating system, such as Windows* or Linux*. UEFI will provide a clean interface between operating systems and platform firmware at boot time, and will support an architecture-independent mechanism for initializing add-in cards.

Da questa risposta, credo che non ti sia stato promesso nulla. UEFI è un framework che i produttori e i programmatori possono implementare. Credo che spetterebbe ai venditori e ai programmatori dare garanzie.

    
risposta data 16.01.2013 - 13:47
fonte

Leggi altre domande sui tag