В августе 2017 года, на конференции Black Hat USA 2017, специалист компании Cylance Алекс Матросов (Alex Matrosov) представил доклад, посвященный уязвимостям, которые он обнаружил в имплементациях Intel UEFI BIOS ряда производителей материнских плат. Тогда исследователь рассказал, что найденные им баги позволяют обойти защитные механизмы BIOS, в том числе Intel Boot Guard и Intel BIOS Guard, а также изменить или подменить сам UEFI BIOS, к примеру, внедрив в него руткит.
Протестированные исследователем устройства базировались на популярной среди OEM-производителей AMI Aptio UEFI BIOS (используют Gigabyte, MSI, Asus, Acer, Dell, HP, ASRock и другие). Тогда Матросов рассказал о шести уязвимостях в четырех материнских платах:
- ASUS Vivo Mini: CVE-2017-11315;
- Lenovo ThinkCentre systems: CVE-2017-3753;
- MSI Cubi2: CVE-2017-11312 и CVE-2017-11316;
- Gigabyte серия BRIX: CVE-2017-11313 и CVE-2017-11314.
Исследователь сетовал, что производители материнских плат не используют аппаратные защитные механизмы, в том числе представленные Intel много лет назад, такие как защитные биты для SMM и SPI (BLE, BWE, PRx). А так как активной защиты памяти на аппаратном уровне нет, устройства этих производителей в теории становятся легкими мишенями для атакующих.
Теперь исследование Матросова продолжил специалист компании Embedi Александр Ермолов. Эксперт обошел защиту Intel Boot Guard на материнский плате Gigabyte GA-H170-D3H, и в процессе выяснил, что проблема, скорее всего, распространяется даже дальше, чем предполагалось изначально.
Ермолов связался с представителями AMI, чтобы уведомить их о проблеме, но ему сообщили, что уязвимости уже были устранены и последняя версия AMI BIOS, доступная для производителей, уже лишена таких недостатков. Когда исследователь решил проверить работу патча, оказалось, что исправление, по сути, лишь ухудшило и без того скверную ситуацию. С полным описанием проблемы можно ознакомиться в блоге Embedi.
Фото: Depositphotos
