Уязвимости в прошивках компьютеров Gigabyte позволяют получить доступ к UEFI

Недавно на конференции по безопасности Black Hat Asia 2017 команда исследователей из компании Cylance продемонстрировала, как за счет использования уязвимостей в прошивке двух мини-компьютеров Gigabyte BRIX можно получить доступ к UEFI.

Сотрудники Cylance обнаружили две проблемы в прошивках Gigabyte. Первая уязвимость заключается в том, что разработчики Gigabyte не смогли правильно реализовать защиту от записи для UEFI. Вторая проблема так же является «заслугой» разработчиков — файлы UEFI забыли снабдить криптографической подписью.

Исследователи рассказали, что обе уязвимости можно использовать в режиме управления системой (System Management Mode, SMM) — специальном режиме работы процессора, который позволяет выполнять низкоуровневое программное обеспечение. При этом атака начинается с простого эксплойта для браузера или вредоносного документа Word, после чего атакующий повышает свои привилегии, добирается до ядра или одного из модулей ядра и получает возможность исполнить любой код.

В качестве доказательства исследователи продемонстрировали установку и работу UEFI-вымогателя, который не позволяет устройствам BRIX загружаться. При этом аналогичным образом на машину можно поместить руткит, который «переживет» что угодно и сможет годами прятаться в системе.

Уязвимости были обнаружены еще в начале 2017 года, и с того времени над их исправлением работали специалисты Cylance, Gigabyte, American Megatrends Inc и CERT/CC. По словам исследователей, проблемам подвержены мини-компьютеры GB-BSi7H-6500 и GB-BXi7-5775. Исправленная версия прошивки для первого из них должна выйти в ближайшие дни. Для устройств GB-BXi7-5775 обновлений можно не ждать, так как их выпуск уже прекращен, а срок официальной поддержки истек.

Источник: ITWorld