¿El malware que infecta el BIOS / Firmware siempre necesita acceso de "root" para hacerlo?

4

Hay muy pocos sistemas operativos reforzados que restringen o deshabilitan totalmente el acceso de "raíz" de Terminal para el usuario.

  1. ¿Esta característica evitaría que los rootkits de BIOS persistentes escriban en BIOS o infecten otros firmware en la máquina? ¿Cuál es el margen de seguridad de esta función?

  2. Teniendo en cuenta los vectores de ataque, ¿haría una diferencia si deshabilita totalmente el acceso de root (codificado) o solo usa una contraseña de root fuerte? ¿Qué es más seguro?

  3. ¿Podría haber vulnerabilidades que permitan que el malware escriba en el BIOS sin ningún tipo de root?

pregunta user3200534 30.12.2014 - 16:23
fuente

1 respuesta

3

En días anteriores, faltaba el control de acceso en el procedimiento de actualización de BIOS que podía introducir Rootkit en BIOS, chip de fl ash sin necesidad de acceso a la raíz. En un ataque mucho más reciente, el malware Mebromi reescribió el BIOS de una máquina con un código que luego escribiría una rutina de infección típica de Master Boot Record en el primer sector del disco. Esto permitió que el malware persistiera incluso si se reemplazaba o formateaba el disco duro. Todos los ataques anteriores en el BIOS se basaban en que el Bios estaba desprotegido y era fácil de escribir y no requería acceso a nivel de raíz

  • Deshabilitar el acceso de root no puede evitar que estos bootkits o rootkits se aprovechen o una contraseña de root más fuerte porque hay varias formas en que pueden infectar
  • flashea la BIOS a través de un CD usb (núcleo de arranque y roms de PCI como IPXE)
  • Inicia una carga útil en la red BOOTKIT > No se requiere raíz
  • Inicia una carga útil a través de wifi / Wimax > no se requiere raíz
  • Reinicie remotamente la tarjeta Bios / Red si es necesario > no se requiere raíz

Algunas características de estos rootkits de BIOS / firmware modernos tienen

  1. Elimina bits NX

  2. Elimina las actualizaciones de la CPU (microcódigo)

  3. Elimina las protecciones de SMM > SMM Se utiliza para obtener acceso al anillo 0

  4. Deshabilita ASLR

  5. elimina la protección para permitir que los procedimientos del supervisor escriban en páginas de solo lectura

Dado que existen técnicas / explotaciones para permitir la escritura remota en BIOS / Firmware, según lo discutido por Blackhat Rakshasa Bootkit en 2012 Blackhat

Además, la presencia de arranque seguro y arranque confiable en Windows 8.1 nos protege de ataques a BIOS / Backdooring más antiguos, sin embargo, como se indica en una investigación reciente enlace todavía es posible que un usuario malintencionado / astuto inicie ataques

    
respondido por el raven 09.01.2015 - 18:45
fuente

Lea otras preguntas en las etiquetas