От
KL FC Bot
Когда пользователь включает ноутбук, до загрузки операционной системы на экран выводится логотип производителя. В теории, этот логотип можно изменить — данная функция предусмотрена для производителей ноутбуков или настольных компьютеров. Но никто не запрещает воспользоваться ей и простому пользователю — если что, можно поменять дефолтный логотип производителя на какую-то другую картинку.
Логотип хранится в составе программного кода, который запускается на настольном ПК или ноутбуке сразу после включения, в так называемой прошивке UEFI. Оказалось, что такая неявная возможность замены логотипа открывает путь для серьезной компрометации устройства — взлома с последующим захватом контроля над системой, который можно провести даже удаленно. Возможность проведения такой атаки, получившей название LogoFAIL, недавно продемонстрировали специалисты компании Binarly. Сегодня мы попытаемся рассказать об этой атаке простыми словами, но сначала давайте вспомним об опасности так называемых UEFI-буткитов.
UEFI-буткиты: зловреды, загружаемые до системы
Исторически программа, исполняемая на раннем этапе включения ПК, называлась BIOS или Basic Input/Output System. Это была крайне ограниченная в своих возможностях, но необходимая программа, задачей которой была инициализация аппаратных систем компьютера и передача управления загрузчику операционной системы. С конца 2000-х годов BIOS постепенно начали заменять на UEFI – расширенную версию такой же «базовой» программы, получившую дополнительные возможности, в том числе – защиту от выполнения вредоносного кода.
В частности, в UEFI был реализован протокол Secure Boot, который с помощью криптографических алгоритмов позволяет проверять код на каждом этапе загрузки компьютера. Это значительно усложняет, например, подмену реального кода ОС на вредоносный. Но, увы, даже эти технологии безопасности не исключили полностью возможность загрузки вредоносного кода на раннем этапе. И если злоумышленникам удается «протащить» в UEFI вредоносную программу или так называемый буткит, последствия будут крайне неприятными.
Дело в том, что UEFI-буткит крайне сложно отследить из самой операционной системы. Буткит способен модифицировать файлы системы, запускать вредоносный код в ОС с максимальными привилегиями. А главная проблема заключается в том, что он способен пережить не только переустановку операционной системы с нуля, но и замену жесткого диска. Находясь в прошивке UEFI, буткит не зависит от данных, хранимых на системном носителе. В результате буткит часто используется в сложных, таргетированных атаках. Пример такой атаки описан, например, в этом исследовании наших экспертов.
Посмотреть статью полностью
От Ilyambuss
От KL FC Bot
От NickM
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти