Даже необразованный «кулхацкер» способен инфицировать BIOS, используя инструмент LightEater, о котором рассказали на последней хакерской конференции CanSecWest в Ванкувере.
Атака даёт возможность полностью вывести из строя компьютер, но также позволяет внедрить троян, который будет перехватывать пароли и другие конфиденциальные данные. Уязвимости подвержены материнские платы всех ведущих производителей, включая Gigabyte, Acer, MSI, HP и Asus. Опасность ещё более усиливается в связи с тем, что производители повторно используют один и тот же код в UEFI BIOS разных моделей.
LightEater содержит простой способ, как вывести из строя BIOS с помощью модифицированного драйвера ядра и некорректной первой инструкции на считывание с флэш-чипа.
С презентацией “How many million BIOSes would you like to infect?” выступили специалисты Кори Калленберг (Corey Kallenberg) и Ксено Ковах (Xeno Kovah) из компании LegbaCore. Они показывают, как проводить массированные атаки типа SMM (System Management Mode), внедряя закладки для всех BIOS, подходящих по описанию. Вполне возможно, что этим методом уже пользуется АНБ и другие спецслужбы. Например, для доступа к компьютерам, которые загружаются с чистой ОС вроде Tails.
«Идея в том, что, если ОС скомпрометирована имплантатом, вполне можно использовать Tails для связи (все интернет-подключения работают через браузер Tor), так как она защищена от вредоносного ПО, которое поразило основную операционную систему. Имплантат ждёт, пока загрузится Tails, выуживает важные данные из памяти и отправляет наружу. Наш агент работает в фоне, Tails его не видит», — говорит Кори Калленберг.
В интервью The Register один из авторов исследования сказал, что проблема связана с тем, что очень мало людей заботятся об обновлении BIOS в материнской плате. Показав уязвимость этого программного обеспечения, авторы надеются изменить данную тенденцию.