Támadható egyes Gigabyte gépek UEFI-je

Két sérülékenységet kihasználva biztonsági szakértőknek sikerült zsarolóvírust juttatni pár Gigabyte BRIX gép firmware-ébe.

Körülbelül másfél éve írtunk egy, az UEFI írásvédelmét érintő biztonsági problémáról, és most hasonló rések kerültek elő: a Cylance nevű biztonságtechnikai cég a BlackHat Asia 2017 konferencián egy proof-of-concept zsarolóvírust telepített pár Gigabyte BRIX minigép UEFI firmware-ébe, amely aztán megakadályozta, hogy azok elinduljanak, belépőt követelve az esti bulikba. A gépeken a Windows 10 1607-es buildje futott, valamennyi biztonsági és egyéb frissítéssel.

Ez még csak meghívókat kér...
Ez még csak meghívókat kér... (forrás: Cylance) [+]

A kártevő telepítését két korábban felfedezett biztonsági rés tette lehetővé, amelyek közül az első szintén az UEFI írásvédelmének nem megfelelő implementálásának köszönhető, míg a második egy, a firmware-hez tartozó fájlok digitális aláírását biztosító rendszer hiányából származik. Meg kell jegyezni, hogy mindkét probléma a Gigabyte sara, ők pedig a Cylane-nel, az AMI-val és a CERT/CC-vel együttműködve az egyik, még gyártásban lévő BRIX-re (GB-BSi7H-6500) el is készítették a javítást, azonban a másik megtámadott modell, a GB-BXi7-5775 már nincs gyártásban, és a Gigabyte nem is kíván új firmware-t kiadni hozzá. Ez azért gond, mert a hibákat kihasználva a támadók távolról, akár egy böngészőben található sérülékenységet kihasználva is eljuttathatják a kártékony kódot a gépre, ahol aztán az UEFI-be eljutva túléli az az OS újratelepítését is.

Azóta történt

Előzmények

Hirdetés