1990年代後半、CIHと呼ばれるコンピューターウイルスが一部のコンピューターに感染し始めました。そのペイロードは、トリガーされると、システム情報を上書きし、コンピューターのBIOSを破壊し、感染したコンピューターを本質的にブリックします。最新のオペレーティングシステム(Windows 10など)に影響を与えるウイルスが、最新のコンピューターのBIOSを破壊し、本質的に同じものをブリックする可能性があります。方法、またはウイルスが最新のコンピュータのBIOSにアクセスすることは現在不可能ですか?
コメント
- はい、しかし攻撃者の観点からそれは無駄かリソースです…以下のペーパーの例としてUEFIのルートキットに関する詳細情報… welivesecurity.com/wp-content/uploads/2018/ 09 / ESET-LoJax.pdf
- コメントは詳細な議論のためのものではありません。この会話はチャットに移動されました。
- 一部(またはほとんど?)のデスクトップマザーボードには、BIOSを何らかの形式から回復するために使用されるROMがあります。メディアの(昔はフロッピーディスク、最近はUSBスティック、多分cd-rom)。 ROMは’変更できませんが、リカバリでは通常、ケースを開き、ジャンパを移動してBIOSリカバリモードで起動する必要があります。 ‘ラップトップがこれをどのように処理するかわかりません。
- 関連: security.stackexchange.com/q / 13105/165253
回答
最新のコンピューターにはBIOSがなく、BIOSがあります。 a UEFI 。実行中のオペレーティングシステムからUEFIファームウェアを更新することは標準的な手順であるため、十分な権限でオペレーティングシステム上で実行されることに成功したマルウェアはすべて試行する可能性があります。同じことをします。ただし、ほとんどのUEFIは、製造元によってデジタル署名されていない更新を受け入れません。つまり、任意のコードで上書きすることはできません。
ただし、これは次のことを前提としています。
- メインボードの製造元は秘密鍵を秘密に保つことができます li>
- UEFIには、任意のコードで上書きしたり、悪用して損害を与えたりする可能性のある、意図しないセキュリティの脆弱性はありません。
これら2つの仮定は必ずしも当てはまりません。 。
漏洩したキーについて:UEFI署名キーが一般に知られるようになった場合、メディアの報道やヒステリックなパッチの適用が非常に多く行われると想定できます。 ITニュースでは、多くの警戒者が「[ブランド]メインボードを使用している場合は、UEFIを今すぐ更新!!! 1111oneone」の見出しを目にする可能性があります。したがって、あなたの仕事が産業スパイにとって興味深いかもしれないなら、これはあなたにとっても信頼できる脅威かもしれません。
バグに関して:UEFIは利益を得る隠れたバグの可能性がますます増える、ますます多くの機能。また、「実際の」オペレーティングシステムを起動した後の内部セキュリティ機能のほとんどが欠けています。
コメント
- コメントは拡張用ではありません討論;この会話はチャットに移動されました。
回答
はい、それは間違いなく可能です。
UEFIが普及するにつれ、さらに懸念が高まっています。UEFIの攻撃対象領域は従来のBIOSよりもはるかに大きく、UEFIの(潜在的な)欠陥を利用して、あらゆる種類の物理的アクセス(昨年のブラックハットでEclypsiumの人々によって実証された)。
回答
実際には、ウイルスはソフトウェアであるため、他のソフトウェアで実行できることはすべて実行できます。
つまり、簡単な方法です。この質問への回答、およびクラスの他のすべての「ウイルスはXを実行できますか?」 「ソフトウェアは現在Xを実行しますか?」
このような質問には、「ウイルスが私の犬を歩くことができるか」などが含まれる場合があります。 (犬の散歩ロボットなしではありません); 「ウイルスは私にピザをもらえますか?」 (はい:残念ながら、これはほとんどのウイルス作成者の主な焦点ではありません。)
BIOS(UEFI)は現在、ソフトウェアを使用して更新されていますか?答えは、そうです。昨夜、再起動したときに更新されました。
したがって、答えは「はい」です。
同じ論理で、ウイルスはCPU、ハードドライブ、およびプリンターに物理的な損傷を引き起こす可能性があります(そして歴史的に引き起こされてきました)。
ホームオートメーションシステムや自動運転車も物理的損害の標的になる可能性がありますが、ウイルスによる被害はありません。
コメント
- ‘マルウェア開発者が私の個人情報を使用して、無料のピザだけを注文してもかまいません。 (有用な推論のために+1)
- @Marc。2377、あなたの個人情報が私の無料ピザを注文するために使用されたとしても私はあまり気にしません…:-)
- 現代のウイルスは非常に難しいでしょう物理的な損傷を引き起こす時間。せいぜい、CPUを非常に高温で実行することでハードウェアを少し消耗させる可能性があり、これにより耐用年数が短くなりますが、’が損傷を引き起こす可能性があることは一般的ではありません。 。過去には、’ではありませんでした。 “死のポーク”を参照してください。
- @forest Aren ‘最近、ファンと冷却システムのソフトウェアが制御されていますか? ‘わかりませんが、CPUまたはGPUファンをソフトウェアから汚す可能性があると思います。ロシアは、共振周波数で発電機のオンとオフを切り替えることにより、発電機をリモートで破壊しました。モニターをすぐに停止させる可能性のある同様のトリックがあるに違いありません。 Platterハードドライブは、繰り返し上下に回転させることで確実にゴミ箱に捨てられる可能性があります。ソリッドステートドライブは、繰り返しの読み取り/書き込みサイクルに対して脆弱です。やる気のあるハッカーができることはたくさんあると思います。
- ‘は”可能/妥当かどうかを判断する前に”物理的損傷を引き起こしました。コードを実行しているコンピューターに文字通り損傷を与えるように定義を制約すると、’はかなり狭くなり、@ forestは正しいと思います。より一般的な意味で物理的な損傷を含めると、’感染したコンピュータが何かを制御しているシナリオを想像するのがはるかに簡単になります’それ以外の場合(発電所、交通灯、大量輸送システム、水処理プラントなど)は、大きな物理的損傷を簡単に引き起こす可能性があります。
回答
はい、それは間違いなく可能です。
これは、メーカーの秘密鍵で不正に署名されたマルウェアOSアップデートの例です: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/
Kaspersky Labsによると、約100万台のAsusラップトップがShadowhammerに感染しました。正しく署名されているように見えるアップデートで。それがファームウェアを変更したかどうかは明らかではありませんが、確かに変更された可能性があります。
回答
あなたの質問は、オペレーティングシステム上のコードの呼び出し音とアクセス許可であるより深い主題を示唆しています。 MS DOSでは、コードは必要なことを何でも実行できます。コードがすべての0x00 “をハードドライブに書き込みたい場合、ハードウェアの一部に奇妙な出力を送信したい場合は、ユーザーのコードを停止するものが何もない可能性もあります。最新のOSには、リングの概念があります(これはCPUによって強制されます)。カーネルはリングゼロで実行され、必要なことは何でも実行できます。一方、ユーザーのコードはできません。リング3と呼ばれるもので実行され、独自の小さなメモリが与えられます。そのメモリ内では、やりたいことは何でもできますが、ハードウェアと直接通信することはできません。 。ユーザーのコードがハードウェアと通信しようとすると、カーネルはすぐにプログラムを強制終了します。これは、通常のウイルスがハードウェアと直接通信できないため、ハードウェアを強制終了する可能性が非常に低いことを意味します。
カーネルがハッキングされた後、ゲームは基本的に終了します。カーネルは必要なことをすべて実行でき、ハードウェアが不安定になるまでCPUをオーバークロックしたり、ハードドライブをワイプしたり(ゼロで埋めるなど)、さまざまな問題が発生する可能性があります。たとえば)、または他のほとんどすべてのもっともらしい攻撃。
コメント
- “ユーザーの’のコードがハードウェアと通信しようとすると、カーネルはすぐにプログラムを強制終了します” -本当ですか?そのための引用を提供しますか?保護された命令は単に失敗し、’それを合理的に処理するか、クラッシュするかはプログラム次第だと思いました。
- @Marc .2377正解です。user
のコードは、CPL0特権を必要とするCPL3で命令を実行しようとすると、#GP(0)(一般保護違反、またはGPF)をスローします。これにより、コードがカーネルにジャンプして、そのイベントに対してどのシグナルハンドラーが設定されているかを確認します。デフォルトでは、カーネルはプロセスを強制終了しますが、’プロセスがSIGSEGVのシグナルハンドラーを設定することは技術的に可能です。この場合、カーネルは次の場所でプロセスの実行を再開します。シグナルハンドラの場所。 ‘実行が再開された場合、プロセスはPOSIXによると…
raise()からのものではないSIGSEGVが発生した後。失敗した命令で実行を再開します。この命令は再び実行され、シグナルが無視されるとプロセスがロックされます。したがって、それを処理するのはプログラム次第であり、もし SIGSEGVのシグナルハンドラーを設定しますが、’それが行われる状況はほとんどありません(ただし、Dolphinエミュレーターは、ある種のハッキーな最適化のためにセグメンテーション違反をキャッチするため、’奇妙なページング動作をエミュレートする必要はありません。 MMUに依存できます。回答
可能性があります。ただし、将来的には正当なBIOSアップデートになりすます必要がある可能性が高いため、これを行うのは困難です。その方法はマザーボードによって異なりますが、秘密鍵やハードウェアキー、またはその他の秘密の漏洩が必要になる可能性があります。
回答
はい。これはハードウェア固有ですが、これはユーザーが誤ってマザーボードのファームウェアをOSレベルから破壊した1つのケースです https://github.com/systemd/systemd/issues/2402
MSIラップトップのファームウェアのバグにより、efi変数をクリアすると、ラップトップが使用できなくなりました。これらの変数はOSに公開され、ファイルとしてマウントされたため、OSレベルからすべてのファイルが削除されました。ウイルスによって悪用され、これらの変数を具体的にターゲットにする可能性のある問題が発生しました。
回答
さまざまな方法があり、いくつかの方法があります。たとえば、 Computraceは、オペレーティングシステムだけでなく、BIOSもバイパスできる永続的なバックドアのようです。より一般的には、 Intel Management Engine はコンピュータを完全に制御し、悪用される可能性があります。これらはBIOSを変更できますが、変更する必要はありません。2017年に、セキュリティ研究者は次のように考えました。 ut USB経由でIntelIMEを悪用して署名されていないコードを実行する方法。
要点は、完全に安全なオペレーティングシステムを使用している場合でも安全でないソフトウェアや悪意のあるソフトウェアをダウンロードすることは決してありませんが、ハードウェアのセキュリティの脆弱性を悪用することですべてを回避するマルウェアの影響を受ける可能性は無視できません(コンピュータの電源がオフになっていると思われる場合でも)。
回答
ここで見たもの:
攻撃者が公式のインストールを行うのに十分な許可を得た場合UEFIファームウェアは、システムメーカーによって正しく署名されていますが、プロセス中の適切なタイミングでコンピューターの電源を強制的にオフにすることで、コンピューターを起動できない状態のままにする可能性があります。
最新のファームウェアの更新コード通常、電源障害がファームウェアの破損を引き起こす状態でコンピュータが費やす時間を最小限に抑えようとします。一部のファームウェアには、そのような場合にアクティブになるリカバリモードもあります。
ただし、これらのシステムの多くは完全に防弾ではありません。ランダムな電源障害に対する優れた保護を提供しますが、ファームウェアに堅牢な自動回復機能がない場合は、タイミングの良い電源オフで電源を切ることができます。
また、攻撃する必要がない場合もあります。メインシステムファームウェア。最近のPCのほとんどすべてのデバイスには何らかのファームウェアがあり、それらの多くはソフトウェアを介して更新できます。これらのデバイスは安全性が低いこともよくあります。署名されていないファームウェアを完全に受け入れるか、少なくとも復元力が低い場合があります。更新プロセス中の悪意のある電源オフに対して。
電源コントローラー、ストレージコントローラー、ストレージデバイス、ビデオデバイス、または入力コントローラーのファームウェアを破壊すると、システムが使用できなくなる可能性があります。 UEFIを攻撃しました。