¿El software de las placas base UEFI es flasheable? Si es así, ¿hay alguna manera de prevenirlo?

2

Tengo la idea de que muchas placas base UEFI son flasheables por software. Por ejemplo, Las instrucciones de Gigabyte para sus placas base describen una "Una utilidad de actualización en vivo del BIOS basada en Windows" que Parece que solo se ejecuta como software de aplicación en la computadora. ¿Es correcto, son Gigabyte y otros fabricantes de placas madre que ahora producen placas madre con software flasheable?

Por "software flashable" quiero decir que no es necesario realizar ninguna acción en el hardware de la computadora (como presionar un botón o insertar una llave USB), por lo que la máquina podría ser flasheada remotamente.

Si es así, entonces este es un gran problema de seguridad porque el malware o un operativo enemigo con control remoto de la computadora (RAT) podría volver a flashear el BIOS / UEFI. Dado que el código UEFI no se puede leer desde el chip mediante un software externo, no hay forma de saber si tengo un UEFI OEM original en mi sistema o un UEFI de malware.

¿Hay alguna forma de que el bloqueo de hardware UEFI parpadee para hacer imposible que un atacante remoto vuelva a flashear mi UEFI / BIOS?

    
pregunta Tyler Durden 25.01.2017 - 17:32
fuente

2 respuestas

2

Bueno, esa es una de las razones por las que UEFI apesta. En teoría (y no me malinterpretes: nadie serio en la sección nunca creyó que esto funcionaría en RL) el arranque seguro y los controladores firmados deberían evitar que se instale "malware". Pero bueno: los robos se roban y se encuentran las vulnerabilidades . Ya ha habido muchos artículos sobre ese tema. Este controlador que firma BS es más como un argumento de vendedor de los proveedores de UEFI en caso de que alguien pregunte (como acaba de hacer). La historia es la siguiente: Vendedor: "sí, somos conscientes de los riesgos y estamos haciendo algo de magia que evita eso. Ahora no soy un técnico, pero nuestros expertos dicen que funciona. 100%". Silencio. Todo el mundo en el consejo de administración asiente con la cabeza en señal de aprobación, el chico de IT-sec salta por la ventana.

Ahora, mientras estoy atacando a UEFI, no olvidemos que mucho antes de UEFI ha habido (muchos) proveedores que le permitieron actualizar su BIOS desde dentro del sistema operativo (muy común en el mercado de servidores / empresas, pero lo he visto en la placa base de usuario final de gama alta (serie ASUS WS PRO) también. Lo hicieron construyendo chips e interfaces propietarios. Así que este no es un problema completamente nuevo con UEFI y se podría argumentar que UEFI lo hizo mejor porque al menos ahora tenemos una forma estándar de solucionar todo. También se podría argumentar que ahora no tiene que aplicar ingeniería inversa a TODAS las placas principales porque todos están utilizando las mismas vulnerabilidades conocidas. También se podría decir que UEFI lo empeoró debido a la complejidad innecesaria, agregando características a un cargador de arranque que nadie había pedido, lo que aumenta la posibilidad de errores en la implementación.

Dicho esto, tenga en cuenta que hay esfuerzos para hacer las cosas mejor. Pero, lamentablemente, aún no he tenido tiempo de profundizar en qué es lo que mejor hacen esas alternativas (¿tal vez alguien más sabio puede explicar este tema?) Y, como ocurre a menudo en la historia de la tecnología, incluso si esos enfoques fueran mejores que los de UEFI tiene que ofrecer que probablemente siempre vivan a la sombra de la basura que la industria ha elegido (UEFI). Entonces, hasta que la primera planta de energía nuclear explote y la gente muera, supongo que tendremos que vivir con UEFI (y aún así no estoy seguro de que algo cambie en lo que respecta a la seguridad de TI).

Ah, y porque preguntaste: no, no hay nada que puedas hacer para evitar que el malware realice tal ataque. Además de instalar algo más, entonces UEFI (con potencialmente otros riesgos y vulnerabilidades). No estoy seguro de posibles "modificaciones de hardware" que impidan el acceso de escritura al entorno UEFI. pero si hay una forma, probablemente será muy específica del hardware y probablemente no sea fácil de hacer bricolaje.

Pero déjame decirte: si entras en pánico al saber esto ahora mejor no eches un vistazo a lo que hizo Intel con AMT (sugerencia: AMD tiene una BS similar). Y no: tampoco puedes apagar esa mierda.

    
respondido por el masi 25.01.2017 - 21:25
fuente
0

Establezca una contraseña de firmware si corresponde. De lo contrario, no, a menos que escriba su propio firmware personalizado.

    
respondido por el Tim 25.01.2017 - 17:44
fuente

Lea otras preguntas en las etiquetas