En días anteriores, faltaba el control de acceso en el procedimiento de actualización de BIOS que podía introducir Rootkit en BIOS, chip de fl ash sin necesidad de acceso a la raíz. En un ataque mucho más reciente, el malware Mebromi reescribió el BIOS de una máquina con un código que luego escribiría una rutina de infección típica de Master Boot Record en el primer sector del disco. Esto permitió que el malware persistiera incluso si se reemplazaba o formateaba el disco duro. Todos los ataques anteriores en el BIOS se basaban en que el Bios estaba desprotegido y era fácil de escribir y no requería acceso a nivel de raíz
- Deshabilitar el acceso de root no puede evitar que estos bootkits o rootkits se aprovechen o una contraseña de root más fuerte porque hay varias formas en que pueden infectar
- flashea la BIOS a través de un CD usb (núcleo de arranque y roms de PCI como IPXE)
- Inicia una carga útil en la red BOOTKIT > No se requiere raíz
- Inicia una carga útil a través de wifi / Wimax > no se requiere raíz
- Reinicie remotamente la tarjeta Bios / Red si es necesario > no se requiere raíz
Algunas características de estos rootkits de BIOS / firmware modernos tienen
-
Elimina bits NX
-
Elimina las actualizaciones de la CPU (microcódigo)
-
Elimina las protecciones de SMM > SMM Se utiliza para obtener acceso al anillo 0
-
Deshabilita ASLR
-
elimina la protección para permitir que los procedimientos del supervisor escriban en páginas de solo lectura
Dado que existen técnicas / explotaciones para permitir la escritura remota en BIOS / Firmware, según lo discutido por Blackhat Rakshasa Bootkit en 2012
Blackhat
Además, la presencia de arranque seguro y arranque confiable en Windows 8.1 nos protege de ataques a BIOS / Backdooring más antiguos, sin embargo, como se indica en una investigación reciente
enlace todavía es posible que un usuario malintencionado / astuto inicie ataques