Rischio bootkit anche per UEFI e Windows 8

ITSEC ha realizzato un bootkit - proof-of-concept - in grado di funzionare anche con sistemi che utilizzano UEFI e sistema operativo Windows 8.
di Fabio Boneschi pubblicata il 20 Settembre 2012, alle 14:18 nel canale SicurezzaWindowsMicrosoft
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoE cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.
Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.
Infatti non hanno crackato il secure boot
Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.
Che a pensarci è davvero grottesco.
I sistemi attuali sono così complessi che devono per forza essere aggiornabili, ma il fatto di essere aggiornabili li rende potenzialmente vulnerabili a prescindere, non importa quali meccanismi di sicurezza essi utilizzano.
Ovvero: se si può riscrivere è pure crackabile.
E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.
Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.
il bottoncino costa :-(
Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.
Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico
Beh non è che aggiungono uno sportellino solo per il jumper.
Basta a mettere il jumper dove c'è uno sportellino
Si si su alcune c'è, ma sono molto rare.
E comunque qui stiamo parlando che dovrebbero fare la stessa cosa per l'MBR (o meglio i settori di avvio) dell'Hard Disk
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".