Rischio bootkit anche per UEFI e Windows 8

Rischio bootkit anche per UEFI e Windows 8

ITSEC ha realizzato un bootkit - proof-of-concept - in grado di funzionare anche con sistemi che utilizzano UEFI e sistema operativo Windows 8.

di pubblicata il , alle 14:18 nel canale Sicurezza
WindowsMicrosoft
 
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Z80Fan20 Settembre 2012, 18:05 #11
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.
Unrealizer20 Settembre 2012, 19:19 #12
Originariamente inviato da: Z80Fan
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...


Infatti non hanno crackato il secure boot
pabloski20 Settembre 2012, 19:41 #13
Originariamente inviato da: Spectrum7glr
a parte il proof of concept come si potrebbe iniettare il codice malevolo dall'esterno? un conto è aveer il pc in mano, un altro è cercare di farlo dall'esterno...


Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.
LMCH21 Settembre 2012, 03:56 #14
Originariamente inviato da: pabloski
Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.


Che a pensarci è davvero grottesco.
I sistemi attuali sono così complessi che devono per forza essere aggiornabili, ma il fatto di essere aggiornabili li rende potenzialmente vulnerabili a prescindere, non importa quali meccanismi di sicurezza essi utilizzano.
Ovvero: se si può riscrivere è pure crackabile.
!fazz26 Settembre 2012, 15:20 #15
Originariamente inviato da: Z80Fan
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.


il bottoncino costa :-(
DooM126 Settembre 2012, 15:29 #16
Originariamente inviato da: !fazz
il bottoncino costa :-(

Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.
Unrealizer26 Settembre 2012, 18:03 #17
Originariamente inviato da: !fazz
il bottoncino costa :-(


Originariamente inviato da: DooM1
Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.


Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico
DooM126 Settembre 2012, 18:30 #18
Originariamente inviato da: M47AMP
Metteranno uno sportellino?

Beh non è che aggiungono uno sportellino solo per il jumper.
Basta a mettere il jumper dove c'è uno sportellino


Originariamente inviato da: Unrealizer
Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico

Si si su alcune c'è, ma sono molto rare.
E comunque qui stiamo parlando che dovrebbero fare la stessa cosa per l'MBR (o meglio i settori di avvio) dell'Hard Disk

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^