Il malware che infetta il BIOS / firmware ha sempre bisogno dell'accesso "root" per farlo?

4

Ci sono pochissimi sistemi operativi temprati che limitano o disabilitano totalmente l'accesso "root" del terminale per l'utente.

  1. Questa funzione impedirebbe ai rootkit BIOS persistenti di scrivere nel BIOS o di infettare altri firmware sulla macchina? Qual è il margine di sicurezza di questa funzione?

  2. Considerando i vettori di attacco di cui sopra, farebbe la differenza disabilitando totalmente l'accesso di root (hardcoded) o semplicemente usando una password di root strong? Cosa è più sicuro?

  3. Potrebbero esserci exploit che consentono al malware di scrivere sul BIOS senza root?

posta user3200534 30.12.2014 - 16:23
fonte

1 risposta

3

Nei primi giorni c'era una mancanza di controllo degli accessi sulla procedura di reflash del BIOS che poteva introdurre Rootkit nel BIOS, chip fl ash senza accesso alla root richiesto. In un attacco molto più recente, il malware Mebromi ha riscritto il BIOS di una macchina con codice che avrebbe poi scritto una tipica routine di infezione Master Boot Record nel primo settore del disco. Ciò ha permesso al malware di persistere anche se il disco rigido è stato sostituito o formattato. Tutti gli attacchi precedenti sul BIOS si basavano sul fatto che il Bios non era protetto e facilmente scrivibile e non richiedeva accesso a livello di root

  • Disabilitare l'accesso root non può impedire a questi bootkits o rootkit di raccogliere o password root più forti perché ci sono diversi modi in cui possono infettare
  • mostra il BIOS tramite USB CD (core boot e PCI rom come IPXE)
  • Avvia un payload sulla rete BOOTKIT > Nessuna radice richiesta
  • Avvia un payload su wifi / Wimax > nessuna radice richiesta
  • Rifletta in remoto la scheda Bios / Network, se necessario > nessuna radice richiesta

Alcune funzionalità di questi moderni rootkit BIOS / firmware hanno

  1. Rimuove il bit NX

  2. Rimuove gli aggiornamenti della CPU (Microcodice)

  3. Rimuove le protezioni SMM > SMM Utilizzato per ottenere l'accesso allo squillo 0

  4. Disabilita ASLR

  5. rimuove la protezione per consentire alle procedure del supervisore di scrivere in pagine di sola lettura

Poiché esistono tecniche / exploit per consentire la scrittura remota su BIOS / firmware come discusso da Blackhat Rakshasa Bootkit nel 2012 Blackhat

Inoltre, la presenza di avvio sicuro e avvio affidabile in Windows 8.1 ci protegge dai vecchi attacchi del BIOS / backdoor, tuttavia, come indicato nella recente ricerca link è ancora possibile l'avvio di utenti malintenzionati / furbi attacchi

    
risposta data 09.01.2015 - 18:45
fonte

Leggi altre domande sui tag