Comments 5
Спасибо большое за исследование, может быть теперь мне перестанут люди говорить, что я занимаюсь никому не нужной фигней, пытаясь в UEFI безопасность починить…
Одного только прошу (у авторов оригинального исследования тоже просил, и они обещали исправить) — выкиньте весь вот этот пассаж про SecureBoot:
UEFI SecureBoot не защищает и не может защищать от атак на прошивку изнутри самой прошивки (всем известная проблема курицы и яйца мешает), он защищает от запуска внешних по отношению к прошивке компонентов — загрузчиков, драйверов, EFI-приложений, т.п.
Если же у вас вредоносный код уже на SPI flash, то отловить его можно только внешними технологиями вроде TPM Measured Boot (который сам по себе тоже можно обойти, но сложнее в разы) и Verified Boot (который должен быть правильно настроен производителем ПК).
Я всеми руками за то, чтобы как можно больше людей включили и пользовались UEFI SecureBoot но создавать ложное чувство уверенности в нем не следует, и от атак такого уровня он не защищает.
Одного только прошу (у авторов оригинального исследования тоже просил, и они обещали исправить) — выкиньте весь вот этот пассаж про SecureBoot:
Первый механизм безопасности, который мог бы заблокировать подобную атаку – это Secure Boot. Когда Secure Boot включен, каждый загружаемый по требованию прошивки компонент самой прошивки должен быть правильно подписан, таким образом гарантируется ее целостность.
UEFI SecureBoot не защищает и не может защищать от атак на прошивку изнутри самой прошивки (всем известная проблема курицы и яйца мешает), он защищает от запуска внешних по отношению к прошивке компонентов — загрузчиков, драйверов, EFI-приложений, т.п.
Если же у вас вредоносный код уже на SPI flash, то отловить его можно только внешними технологиями вроде TPM Measured Boot (который сам по себе тоже можно обойти, но сложнее в разы) и Verified Boot (который должен быть правильно настроен производителем ПК).
Я всеми руками за то, чтобы как можно больше людей включили и пользовались UEFI SecureBoot но создавать ложное чувство уверенности в нем не следует, и от атак такого уровня он не защищает.
+7
Вы правы, спасибо
+3
>>UEFI SecureBoot не защищает и не может защищать от атак на прошивку
А SecureFlash?
При его активации, считать образ средствами AMI можно, но вот его же перезаписать(используя SMI?) уже вроде не получается, т.к. он не подписанный.
А SecureFlash?
При его активации, считать образ средствами AMI можно, но вот его же перезаписать(используя SMI?) уже вроде не получается, т.к. он не подписанный.
0
Все технологии вроде SecureFlash (а особенно те, которые прошивают прямо в рантайме через SMM-обработчик) — это защита периметра, т.е. будучи сломанными однажды, от атак изнутри уже не помогут никак. Код у AMI известного качества, поэтому уязвимости в нем продолжают находить регулярно (1, 2), плюс сами OEMы на безопасность часто плюют и продолжают либо держать прошивку открытой на запись, либо ключ от этой записи под ковриком хранят.
+2
Это прекрасно… Ждём антивирусов для UEFI?
0
Sign up to leave a comment.
LoJax: первый известный UEFI руткит, используемый во вредоносной кампании