据一位安全研究人员说,为了安装引导包,可以绕过统一可扩展固件接口(UEFI)的安全引导安全机制。
2014盒子里黑客安全会议在阿姆斯特丹,科里Kallenberg,安全研究人员从非营利研究机构僧帽,周四还显示,有可能使得一些系统无法通过修改特定UEFI变量直接从操作系统,这个问题可以很容易地利用在cybersabotage攻击。
UEFI被设计为传统BIOS(基本输入/输出系统)的替代品,旨在通过原始设备制造商和BIOS供应商可以使用的参考规范来标准化现代计算机固件。然而,在现实中,UEFI的实现方式可能存在显著差异,不仅是在不同的计算机制造商之间,甚至是在同一厂商的不同产品之间,Kallenberg说。
Kallenberg说,去年,来自英特尔和Mitre的研究人员共同发现了美国Megatrends在UEFI实现中的一个问题,Megatrends是许多oem使用的BIOS供应商。特别是,研究人员发现一个名为Setup的UEFI变量没有得到适当的保护,并且可能被具有管理权限的进程从操作系统中修改。
以特定的方式修改Setup变量允许绕过安全引导UEFI安全特性,设计用于防止安装引导包,这些引导包是rootkit,隐藏在系统的引导加载程序中,并在实际操作系统启动之前启动。安全引导的工作方式是,在执行引导加载程序之前,检查引导加载程序是否进行了数字签名,并使用预先批准的白名单。
多年来,靴袋一直是一个严重的威胁。2011年,卡巴斯基实验室(Kaspersky Lab)的安全研究人员说,TDL版本4(一种会感染计算机主引导记录(MBR)的恶意程序)已经感染了450多万台计算机,并被称为TDL世界上最复杂的威胁。McAfee在2013年报告了感染MBR的恶意软件威胁的数量已经达到了历史新高。
除了绕过安全引导,不受保护的设置变量也可以用于“砖块”系统,如果攻击者设置它的值为0,Kallenberg周四首次透露。如果发生这种情况,受影响的计算机将无法再次启动。
研究人员说,从这样的攻击中恢复将是困难和费时的,因为它涉及到重新编程BIOS芯片,这需要人工干预和专用设备。
这种攻击可以通过具有管理权限的恶意软件从操作系统中发起,可能被用来破坏组织的计算机。这不是第一次发生这种毁灭性的袭击。
2012年4月,伊朗石油部与该国国有石油公司联手被数据清除恶意软件攻击了他们删除了一些系统中的信息。几个月后,在8月,一个黑客组织使用恶意软件禁用30000台工作站属于沙特阿拉伯国家石油公司沙特阿美。
除了安装变量问题(美国Megatrends已经修复了这个问题),Kallenberg还提出了另一种绕过安全引导的方法,这种方法源于原始设备制造商在UEFI实现中没有使用名为SMI_LOCK的安全机制。
由于缺少此保护特性,因此允许在内核中运行的代码(如系统驱动程序)临时禁止SMM(系统管理模式),并在安全引导信任的预批准引导加载程序列表中添加一个恶意条目。当系统重新引导时,恶意引导加载程序将被执行,而不会出现安全引导错误。
来自Mitre的研究人员开发了一个名为Copernicus的Windows软件代理,它可以分析系统的BIOS/UEFI,并报告它使用的不同安全特性。他们在他们组织的8000个系统中运行了这个工具,发现其中大约40%的系统没有使用SMI_LOCK保护。
Kallenberg说,这些结果在许多oem厂商中并不具有代表性,因为Mitre特别使用了大量戴尔系统,但这项工作已经扩展到公司之外,目前大约有20,000个系统被扫描。研究人员表示,他们的目标是扫描10万个系统,然后发布一份报告。
另一个问题是,即使oem在将来发布带有SMI_LOCK保护的BIOS更新,并且客户安装了它们,Kallenberg估计,在50%的系统中,攻击者可能会从操作系统内部闪回一个较旧的、不受保护的BIOS版本。
解除SMM抑制攻击需要访问内核模式,也称为环0,但这对攻击者来说不一定是个大问题,Kallenberg说。如果攻击者成功地执行恶意软件的用户进程管理权限,例如利用漏洞在其他软件应用程序或操作系统本身——他可以安装一个年长的数字签名的驱动程序从一个合法的已知漏洞的硬件制造商。由于驱动程序在内核空间中运行,因此他可以利用这个漏洞以ring 0特权执行恶意代码,研究人员说。
还有其他芯片组依赖的方式来抑制SMM和修改安全引导白名单仍在调查,但还没有准备公开披露,Kallenberg说。
Kallenberg说,在过去的一年中,oem开始更加关注BIOS安全研究,并开始做出反应。“我认为我们终于到了这样一个阶段,你会看到原始设备制造商更加认真地对待这一问题。”
Kallenberg说,过去研究BIOS安全问题对研究人员来说非常困难,因为使分析更容易的专门的BIOS调试设备花费了20,000美元。然而,UEFI的开放性允许更多的研究人员研究这些问题,并希望在未来几年内,最明显的漏洞将被识别和修复,他说。