Un virus può distruggere il BIOS di un computer moderno?

Alla fine degli anni 90, un virus informatico noto come CIH iniziò a infettare alcuni computer. Il suo payload, quando attivato, sovrascriveva le informazioni di sistema e distruggeva il BIOS del computer, essenzialmente bloccando qualsiasi computer infettato. Un virus che colpisce i sistemi operativi moderni (come Windows 10) potrebbe distruggere il BIOS di un computer moderno e essenzialmente lo stesso brick o è ora impossibile per un virus accedere al BIOS di un computer moderno?

Commenti

  • sì, ma dal punto di vista di un aggressore è uno spreco o risorse … Maggiori informazioni su un rootkit per UEFI come esempio nel documento qui sotto … welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
  • I commenti non sono oggetto di discussione estesa; questa conversazione è stata spostata nella chat .
  • Alcune (o la maggior parte?) delle schede madri desktop hanno una ROM utilizzata per ripristinare il BIOS da qualche forma dei media (ai vecchi tempi, floppy disk, oggigiorno, chiavette USB, forse cd-rom). La ROM non può ‘ essere modificata, tuttavia il ripristino di solito richiede lapertura del case e lo spostamento di un jumper per avviare la modalità di ripristino del BIOS. Non ‘ non so come gestiscono i laptop.
  • Correlati: security.stackexchange.com/q / 13105/165253

Risposta

I computer moderni non hanno un BIOS, hanno a UEFI . Laggiornamento del firmware UEFI dal sistema operativo in esecuzione è una procedura standard, quindi qualsiasi malware che riesce a essere eseguito sul sistema operativo con privilegi sufficienti potrebbe tentare Per fare lo stesso, tuttavia, la maggior parte degli UEFI non accetterà un aggiornamento che non sia firmato digitalmente dal produttore. Ciò significa che non dovrebbe essere possibile sovrascriverlo con codice arbitrario.

Ciò, tuttavia, presuppone che:

  1. i produttori di schede madri riescano a mantenere segrete le loro chiavi private
  2. UEFI non ha alcuna vulnerabilità di sicurezza non intenzionale che consenta di sovrascriverlo con codice arbitrario o che possa essere altrimenti sfruttato per causare danni.

E questi due presupposti non sono necessariamente validi .

Riguardo alle chiavi trapelate: se una chiave di firma UEFI diventasse nota al grande pubblico, allora si può presumere che ci sarebbero molti rapporti sui media e patch isteriche in corso. Se ne segui alcuni Notizie IT, probabilmente vedrai molti allarmisti “Se hai una scheda madre [di marca] AGGIORNA ORA IL TUO UEFI !!! 1111oneone” . Ma unaltra possibilità è firmare chiavi trapelate segretamente agli attori statali. Quindi, se il tuo lavoro potrebbe essere interessante per lo spionaggio industriale, allora questa potrebbe anche essere una minaccia credibile per te.

Per quanto riguarda i bug: guadagno degli UEFI sempre più funzionalità che hanno sempre più possibilità di bug nascosti. Inoltre mancano della maggior parte delle funzionalità di sicurezza interna che hai dopo aver avviato un sistema operativo “reale”.

Commenti

Risposta

Sì, è decisamente possibile.

Oggigiorno, con la diffusione di UEFI, è ancora più preoccupante: UEFI ha una superficie di attacco molto più ampia rispetto al BIOS tradizionale e un (potenziale) difetto in UEFI potrebbe essere la leva per ottenere laccesso alla macchina senza dover qualsiasi tipo di accesso fisico ( come dimostrato dalla gente di Eclypsium al black hat lo scorso anno ).

Risposta

In pratica, un virus è un software, quindi può fare tutto ciò che qualsiasi altro software può fare.

Quindi il modo semplice rispondere a questa domanda ea tutte le altre della classe “I virus possono fare X?” è chiedere “Il software attualmente fa X?”

Tali domande potrebbero includere “un virus può portare a spasso il mio cane?” (non senza un cane che cammina robot); “Può un virus portarmi la pizza?” (sì: questo purtroppo non è lobiettivo principale della maggior parte degli autori di virus, tuttavia).

I BIOS (UEFI) sono attualmente aggiornati tramite software? La risposta è sì, lo sono. Il mio è stato aggiornato ieri sera, quando ho riavviato.

E quindi la risposta è sì.

Con la stessa logica, i virus possono anche causare (e storicamente hanno causato) danni fisici alla CPU, ai dischi rigidi e alle stampanti.

Anche i sistemi di automazione domestica e i veicoli senza conducente sono possibili bersagli di danni fisici, ma non sono a conoscenza di virus che lo abbiano fatto.

Commenti

  • Non mi dispiacerebbe ‘ se le mie informazioni personali venissero utilizzate dagli sviluppatori di malware per ordinarmi pizza gratis e nientaltro. (+1 per ragionamento utile)
  • @Marc.2377, non mi dispiacerebbe molto se le tue informazioni personali venissero utilizzate per ordinare me pizza gratis … 🙂
  • I virus moderni avranno un tempo che causa danni fisici. Al massimo, potrebbero indebolire un po lhardware facendo funzionare la CPU a temperature elevate, il che riduce la durata utile, ma ‘ non è comune che possa causare danni . In passato, però, ‘ non era così. Guarda ” the poke of death “.
  • @forest Aren ‘ t le ventole e il software dei sistemi di raffreddamento controllati in questi giorni? ‘ non ne sono sicuro, ma scommetto che potresti in qualche modo sporcare la ventola della CPU o della GPU dal software. La Russia ha distrutto i generatori in remoto attivandoli e disattivandoli a una frequenza di risonanza – Scommetto che ci sono trucchi simili che potrebbero uccidere il tuo monitor abbastanza rapidamente. I dischi rigidi del piatto possono sicuramente essere cestinati ruotandoli su e giù ripetutamente, le unità a stato solido sono vulnerabili a ripetuti cicli di lettura / scrittura. Scommetto che un hacker motivato potrebbe fare molto ..
  • Penso che ‘ dovremmo definire lambito di ” causa danni fisici ” prima che decidessimo se fosse possibile / plausibile. Se costringi la definizione a danneggiare letteralmente il computer che esegue il codice, ‘ è piuttosto ristretto e penso che @forest abbia ragione. Se includi danni fisici in senso più generale, è ‘ molto più facile immaginare scenari in cui un computer infetto che ‘ sta controllando qualcosa altrimenti (centrale elettrica, semafori, sistema di trasporto di massa, impianto di trattamento delle acque, ecc.) potrebbe facilmente causare gravi danni fisici.

Risposta

Sì, è assolutamente possibile.

Di seguito è riportato un esempio di aggiornamento del sistema operativo malware firmato in modo fraudolento con la chiave privata del produttore: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/

Secondo Kaspersky Labs, circa un milione di laptop Asus sono stati infettati da Shadowhammer, con un aggiornamento che sembrava essere firmato correttamente. Non è chiaro se ciò abbia alterato il firmware, ma certamente avrebbe potuto farlo.

Risposta

La tua domanda suggerisce un argomento più profondo che sono gli anelli e le autorizzazioni del codice su un sistema operativo. Su MS DOS il codice potrebbe fare quello che vuole. Se il codice volesse scrivere tutti gli 0x00 su un disco rigido, potrebbe farlo se volesse inviare strani output a un componente hardware, potrebbe anche non esserci nulla che fermi il codice dellutente. Su un sistema operativo moderno esiste un concetto di anelli (questo è applicato dalla CPU). Il kernel gira sullanello zero e potrebbe fare quello che vuole. Il codice dellutente invece non può farlo. Funziona su qualcosa chiamato anello 3 e gli viene dato il suo piccolo pezzo di memoria e allinterno di quella memoria può fare quello che vuole ma non può parlare direttamente con lhardware . Se il codice dellutente cerca di comunicare con lhardware, il kernel uccide immediatamente il programma. Ciò significa che è altamente improbabile che un virus normale possa uccidere lhardware perché non può parlargli direttamente.

Se il kernel viene violato, quindi il gioco è praticamente finito.Il kernel può fare quello che vuole e possono accadere tutta una serie di cose brutte come loverclock della CPU fino a un punto in cui lhardware è instabile, pulire i dischi rigidi (riempiendo il per esempio), o praticamente qualsiasi altro attacco plausibile.

Commenti

  • ” Se il codice dellutente ‘ cerca di parlare con lhardware, il kernel uccide immediatamente il programma ” – Davvero? fornire una citazione per questo? Pensavo che listruzione protetta sarebbe semplicemente fallita e ‘ spetta al programma occuparsene ragionevolmente o andare in crash.
  • @Marc .2377 È corretto Se lutente ‘ s il codice tenta di eseguire unistruzione in CPL3 che richiede i privilegi CPL0, lancerà #GP(0) (errore di protezione generale o GPF). Questo fa sì che il codice salti nel kernel per vedere quale gestore di segnali è stato impostato per quellevento. Per impostazione predefinita, il kernel ucciderà il processo, sebbene ‘ sia tecnicamente possibile per il processo impostare un gestore di segnali per SIGSEGV, nel qual caso il kernel riprende lesecuzione del processo a la posizione del gestore del segnale. ‘ generalmente non è una buona idea perché un processo è considerato in uno stato …
  • … indefinito secondo POSIX se lesecuzione riprende dopo che è stato generato un SIGSEGV che ‘ non proveniva da raise(). Riprenderà lesecuzione dallistruzione fallita che verrà eseguita di nuovo e causerà il blocco del processo se il segnale viene ignorato.Quindi può essere il programma a occuparsene, se imposta un gestore di segnale per SIGSEGV, ma ‘ non è praticamente mai una situazione in cui ciò sarebbe stato fatto (anche se penso che lemulatore Dolphin rilevi i segfaults per una sorta di ottimizzazione hacky, quindi ‘ non deve emulare qualche strano comportamento di paginazione e può fare affidamento sulla MMU).
  • Vedi questo per un (raro) esempio di quando è allaltezza del programma. Oppure leggi PoC || GTFO 6: 3.

Risposta

Potenzialmente. Tuttavia, sarebbe difficile da fare, poiché molto probabilmente dovrebbe mascherarsi come un aggiornamento del BIOS legittimo da qualche parte lungo la linea. Il metodo per farlo cambierà a seconda del tuo mobo, ma è probabile che debba comportare la fuga di chiavi private o hardware o altri segreti.

Risposta

Sì. È specifico dellhardware, ma ecco un caso in cui un utente ha accidentalmente danneggiato il firmware della scheda madre dal livello del sistema operativo https://github.com/systemd/systemd/issues/2402

Un bug nel firmware di un laptop MSI significava che la cancellazione delle variabili efi rendeva il laptop inutilizzabile. Poiché queste variabili erano esposte al sistema operativo e montate come file, eliminando ogni file dal livello del sistema operativo ha causato il problema che potrebbe essere sfruttato da un virus per mirare specificamente a queste variabili.

Risposta

Ci sono molti modi e alcuni di questi sono inquietanti. Ad esempio, Computrace sembra essere una backdoor permanente che può bypassare non solo il sistema operativo ma anche il BIOS. E più in generale, il Intel Management Engine ha il pieno controllo del tuo computer e può essere plausibilmente sfruttato. Questi possono modificare il tuo BIOS ma non è nemmeno necessario. Solo nel 2017, i ricercatori di sicurezza hanno capito ut come sfruttare Intel IME tramite USB per eseguire codice non firmato .

Il punto è che anche se hai un sistema operativo completamente sicuro e non scarichi mai alcun software insicuro o dannoso, cè ancora una possibilità non trascurabile che tu possa essere colpito da un malware che aggira tutto ciò sfruttando una vulnerabilità di sicurezza nel tuo hardware (anche quando il tuo computer è presumibilmente spento).

Risposta

Qualcosa che non ho visto qui:

Se lattaccante ottiene autorizzazioni sufficienti per installare anche un ufficiale Il firmware UEFI, correttamente firmato dal produttore del sistema, può ancora potenzialmente lasciare il computer in uno stato non avviabile spegnendo forzatamente il computer in un momento opportuno durante il processo.

Il codice di aggiornamento nei firmware moderni di solito cerca di ridurre al minimo il tempo che il computer trascorre in uno stato in cui uninterruzione di corrente provocherà il danneggiamento del firmware, es Alcuni firmware hanno anche una modalità di ripristino che si attiverà in tal caso.

Tuttavia, molti di questi sistemi non sono completamente a prova di proiettile. Sebbene offrano una buona protezione contro interruzioni di corrente casuali, uno spegnimento tempestivo potrebbe comunque spegnerlo se il firmware non dispone di una robusta funzione di ripristino automatico.

Inoltre, potrebbe non essere necessario attaccare il firmware di sistema principale. Praticamente ogni dispositivo in un PC moderno ha un firmware di qualche tipo e molti di essi possono essere aggiornati tramite software. Questi dispositivi sono spesso anche meno sicuri. Possono accettare completamente firmware non firmati, o almeno essere meno resistenti contro spegnimenti dannosi durante il processo di aggiornamento.

Se distruggi il firmware sul controller di alimentazione, controller di archiviazione, dispositivo di archiviazione, dispositivo video o controller di input, il sistema potrebbe diventare inutilizzabile come se lo avessi ha attaccato lUEFI.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *