研究团队利用技嘉BRIX迷你PC固件中的2个漏洞演示底层勒索软件。
过去几年,勒索软件威胁从存在于浏览器中,发展到了进驻操作系统,再侵入到了引导加载程序。如今,直接深入到了驱动计算机硬件组件的底层固件。
今年年初,安全厂商Cylance的研究团队,演示了存在于主板统一可扩展固件接口(UEFI),即现代BIOS中的概念验证勒索软件程序。
黑帽亚洲安全大会上,该团队揭示了他们的做法:利用台湾计算机制造商技嘉科技出品的两台超袖珍PC所用固件中的漏洞。
这两个漏洞影响技嘉的迷你PC准系统平台(BRIX) GB-BSi7H-6500 和 GB-BXi7-5775,可使攻击者获得操作系统访问权,权限提升,并在系统管理模式(SMM)下执行恶意代码。SMM是CPU的一种特殊运行方式,可以执行底层软件。
GB-BSi7H-6500
UEFI漏洞并不新鲜,各届安全大会上均有演示。但因为可以用于安装持久性强的恶意软件,甚至被完全清除乃至系统重装后都能再次感染操作系统,而受到攻击者的珍视。
UEFI rootkit——本就是为了隐藏其他恶意软件及其活动而生的恶意代码,是网络间谍或监视行动的完美工具。2015年意大利监视软件厂商 Hacking Team 数据泄露事件就揭示出,该公司为其司法和政府客户提供了一款 UEFI rootkit。
维基解密近期泄露的CIA网络武器文档也表明,该机构也掌握有可植入Mac机器的UEFI工具。
然而,Cylance研究团队并没有演示rootkit,而是展示了该勒索软件还能得益于UEFI的高权限和持续驻留。
查清恶意代码是否真切安装到了计算机底层固件中是非常困难的,清除它也是否复杂,因为这需要重刷一个干净的UEFI镜像。
技嘉计划本月发布针对 GB-BSi7H-6500 的固件更新以解决该漏洞,但不打算修复 GB-BXi7-5775——因为该型号已停止更新。
为应对刚刚曝出的CIA泄露工具,英特尔安全发布了一款工具,帮助计算机管理员验证自己的固件是否被植入了恶意代码。
UEFI漏洞的一个限制因素在于,不能应用在太多机器上。这是因为,世界上有数家固件/BIOS厂商为计算机制造商提供参考UEFI实现,供他们进一步添加自己的代码,定制固件。
这意味着,现代计算机的固件划分很多,一家厂商主板的UEFI漏洞,未必适用于其他厂商的产品,甚至同一厂商不同型号的产品。
(责任编辑:安博涛)
