Aktualizujesz bios płyty głównej? Sprawdź, czy nie jest zainfekowany z VirusTotal

15 lutego, 2016
bios_uefi_aktualizacja

Niemal każde urządzenie wchodzące w skład komputera i domowej infrastruktury sieciowej powinny zostać zaktualizowane. W szczególności routery. Po co to robić? Dla własnego bezpieczeństwa. Aktualizacje, czyt. nowsze wersje firmware wprowadzają zazwyczaj nie tylko ulepszone funkcje, ale też łatają dziury, dzięki którym hakerzy mogliby dostać się do konfiguracji routera i zmienić jego konfigurację.

Jeżeli w najbliższym czasie czeka Was aktualizacja podobna aktualizacja, pobrany plik przeskanujcie w serwisie VirusTotal – znanym wsród cyberprzestępców i zwykłych użytkowników serwisie. Wprowadzona przez Google nowa funkcjonalność zweryfikuje poprawność certyfikatów plików wypakowanych z obrazu firmware, poprawność zmiennych NVAR, bezpieczeństwo potencjalnych plików wykonywalnych, bezpieczeństwo plików ROM i inne. Szkodliwe oprogramowanie, które będzie działać w BIOS-ie może przetrwać restarty komputera, ponowną instalację systemu operacyjnego włączając w to format dysków.

Taką właśnie sztuczkę zastosował chiński producent Lenovo, który w maju 2015 roku został złapany na ukrywaniu funkcji Lenovo ENGINE SERVICE (LSE), która ponownie instalowała oprogramowanie producenta w laptopach i komputerach klasy PC. A działało to w następujący sposób:

Jeśli w systemie preinstalowana była usługa LSE, podczas uruchamiania systemu operacyjnego automatycznie pobierała i instalowała oprogramowanie Lenovo i nadpisywała pliki systemu Windows. Jednak bardziej niepokojące jest to, że programów tych nie dało się usunąć na stałe. Przy każdym starcie Windows, LSE sprawdzało, czy w systemie znajdują się pobrane wczesniej pliki. Jeśli użytkownik usunął je, za każdym razem wracał do punktu wyjścia. Podejrzewa się, że LSE niczym rootkit wstrzykuje oprogramowanie do aktualizacji sterowników i sprzętu oraz inne fabryczne aplikacje (bloatware, przyp. redakcja) od chińskiego producenta Lenovo.

Hacking Team też ingerował w UEFI

Podobny incydent miał miejsce w tym samym okresie, kiedy firma Hacking Team, która dostarczała rządowym klientom oprogramowanie do infekowania UEFI laptopów i komputerów firmy Dell, Acer, Lenovo, HP, a zdaniem Trend Micro także BIOSU-u AMI, sama padła ofiarą hakera.

Informacje te ujrzały światło, kiedy po włamaniu do serwerów Hacking Team wyciekło 400GB danych: plików, wiadomości e-mail. Z wykradzionych informacji można było wychwycić takie perełki jak instalację rootkita w UEFI, co jednak wymagało fizycznego dostępu do komputera docelowego. Zdaniem firmy Trend Micro, znanej z produktów do ochrony przed zaawansowanym malware, nie wyklucza się, że zdalna instalacja też była możliwa do zrealizowania.

Możliwość instalowania rootkitów w BIOS lub firmware UEFI zostało udowodnione już przez wielu ekspertów na konferencjach poświęconych bezpieczeństwu. Jednak przypadki wykorzystania tej metody w praktyce należą do rzadkości.

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]