研究團隊利用技嘉BRIX迷你PC固件中的2個漏洞演示底層勒索軟件
過去幾年,勒索軟件威脅從存在于瀏覽器中,發展到了進駐操作系統,再侵入到了引導加載程序。如今,直接深入到了驅動計算機硬件組件的底層固件。
今年年初,安全廠商Cylance的研究團隊,演示了存在于主板統一可擴展固件接口(UEFI),即現代BIOS中的概念驗證勒索軟件程序。
黑帽亞洲安全大會上,該團隊揭示了他們的做法:利用臺灣計算機制造商技嘉科技出品的兩臺超袖珍PC所用固件中的漏洞。
這兩個漏洞影響技嘉的迷你PC準系統平臺(BRIX) GB-BSi7H-6500 和 GB-BXi7-5775,可使攻擊者獲得操作系統訪問權,權限提升,并在系統管理模式(SMM)下執行惡意代碼。SMM是CPU的一種特殊運行方式,可以執行底層軟件。
GB-BSi7H-6500
UEFI漏洞并不新鮮,各屆安全大會上均有演示。但因為可以用于安裝持久性強的惡意軟件,甚至被完全清除乃至系統重裝后都能再次感染操作系統,而受到攻擊者的珍視。
UEFI rootkit——本就是為了隱藏其他惡意軟件及其活動而生的惡意代碼,是網絡間諜或監視行動的完美工具。2015年意大利監視軟件廠商 Hacking Team 數據泄露事件就揭示出,該公司為其司法和政府客戶提供了一款 UEFI rootkit。
維基解密近期泄露的CIA網絡武器文檔也表明,該機構也掌握有可植入Mac機器的UEFI工具。
然而,Cylance研究團隊并沒有演示rootkit,而是展示了該勒索軟件還能得益于UEFI的高權限和持續駐留。
查清惡意代碼是否真切安裝到了計算機底層固件中是非常困難的,清除它也是否復雜,因為這需要重刷一個干凈的UEFI鏡像。
技嘉計劃本月發布針對 GB-BSi7H-6500 的固件更新以解決該漏洞,但不打算修復 GB-BXi7-5775——因為該型號已停止更新。
為應對剛剛曝出的CIA泄露工具,英特爾安全發布了一款工具,幫助計算機管理員驗證自己的固件是否被植入了惡意代碼。
UEFI漏洞的一個限制因素在于,不能應用在太多機器上。這是因為,世界上有數家固件/BIOS廠商為計算機制造商提供參考UEFI實現,供他們進一步添加自己的代碼,定制固件。
這意味著,現代計算機的固件劃分很多,一家廠商主板的UEFI漏洞,未必適用于其他廠商的產品,甚至同一廠商不同型號的產品。