Come si può resettare completamente UEFI in caso di infezione del firmware?

0

Non ho davvero capito se l'infezione a livello di firmware (su entrambe le schede madri o le unità) possa effettivamente essere una cosa senza accesso fisico, tuttavia come può un factory resettare il firmware in quel caso?

C'è, in particolare, un modo per essere certi che sia stato reimpostato su una versione pulita, senza interferenze da un firmware modificato dannoso? Le schede madri hanno una sorta di versione non modificabile, salvata dalla ROM, a cui puoi ricorrere? Sembra così schifo se i firmware modificabili nella scheda madre hanno semplicemente creato nuovi rischi per la sicurezza ...

    
posta Eärendil Baggins 31.10.2018 - 04:46
fonte

1 risposta

3

I haven't really understood whether firmware level infection (on either motherboard or drives) can actually be a thing without physical access

È possibile perché è possibile aggiornare il firmware su molte schede senza realmente aver bisogno di un accesso fisico. Il caso più comune è usare l'interfaccia EFI Capsule Loader, ma ci sono anche altri metodi disponibili, uno dei più spaventosi è l'utilizzo di Intel AMT per il reflash del firmware da remoto con interazione zero da parte dell'utente (ci sono in realtà sistemi che possono farlo ).

however how can one factory reset the firmware in that case?

Qualsiasi metodo per farlo con il sistema acceso richiede la cooperazione dal firmware stesso, ed è piuttosto banale che il malware non solo collabori (in effetti, è più facile per loro non cooperare che sarebbe per loro di cooperare). Di conseguenza, è necessario rimuovere fisicamente il chip di memoria flash che contiene il firmware e quindi riprogrammarlo manualmente utilizzando hardware specializzato (bene, specializzato da una tipica prospettiva dell'utente finale, è possibile utilizzare praticamente qualsiasi programmatore flash SPI che si desidera finché ha l'interfaccia giusta). Farlo sarà funzionalmente impossibile per la maggior parte delle persone, soprattutto perché è quasi impossibile ottenere l'immagine del firmware grezzo dai pacchetti di aggiornamento del fornitore (l'hardware per programmarlo effettivamente è economico, e non è qualcosa che richiede più di qualche abilità veramente basilari da usare).

Is there, in particular, a way to be sure it was reset to a clean version, without interference from a malicious edited firmware?

È sufficiente verificare l'immagine del firmware che intendi utilizzare, a condizione che tu la riprogrammi correttamente.

Do motherboards have some sort of uneditable, ROM-stored version you can fall back to?

Come regola generale, no, sarebbe sprecato spazio e potere per il 99,9% degli utenti finali, e sarebbe anche un incubo logistico per il personale di supporto.

Molte buone schede madri, tuttavia, usano gli aggiornamenti delle transazioni e hanno una copia di backup del firmware (inizia come la stessa versione, quindi dopo il primo aggiornamento del firmware tiene traccia dell'ultima versione utilizzata. perché tutto ciò che può riscrivere uno può semplicemente riscrivere entrambi.

It seems so lame if editable firmwares in motherboard simply created new security risks...

Il firmware aggiornabile non è una novità. Il concetto è in circolazione da molto più tempo di quanto la maggior parte delle persone abbia realizzato (il PC più vecchio che ho visto potrebbe farlo senza aver bisogno di hardware di programmazione o di uno scambio di chip manuale risalente a oltre un decennio fa). È solo di recente che è diventato molto diffuso, anche perché UEFI rende molto più facile per l'OEM fornire supporto.

    
risposta data 31.10.2018 - 19:49
fonte

Leggi altre domande sui tag