Итальянский хакер Андреа Аллиеви (Andrea Allievi), ведущий исследователь в области ИТ-безопасности компании ITSEC, обнаружил уязвимость в интерфейсе Unified Extensible Firmware Interface (UEFI), который используется в Windows 8 для инициализации оборудования при включении компьютера и передачи управления загрузчику ОС.
Андреа Аллиеви сумел написать собственную версию UEFI, которая дополняет оригинальную версию от Microsoft и позволяет выполнять на компьютере любой код, успешно игнорируя механизмы защиты Kernel Patch Protection и Driver Signature Enforcement. Конкретно, хакерская программа отслеживает дисковые операции I/O от оригинального UEFI и перехватывает загрузку ядра Windows 8. Подобные действия в будущем могут производить и вредоносные программы, руткиты для Windows 8.
Разработка итальянского исследователя — первый полноценный буткит для Windows 8. Раньше публиковались только концепты подобных программ, которые не могли заменить оригинальную UEFI.
«С помощью нашего исследования мы пытаемся продемонстрировать индустрии, что новая платформа UEFI так же небезопасна, как и старая технология BIOS, она всё ещё уязвима, если технология SecureBoot не включена по умолчанию, — сказал Марко Джулиани (Marco Giuliani), директор ITSEC. — Для разработчиков вредоносного ПО написать буткит стало гораздо проще, когда есть фреймворк UEFI, тогда как раньше им приходилось кодировать на чистом ассемблере». В то же время, включение SecureBoot с проверкой цифровых подписей программ, говорит Джулиани, ограничивает свободу пользователя.
