web-dev-qa-db-ja.com

BIOS /ファームウェアに感染するマルウェアは、そのために常に「ルート」アクセスを必要としますか?

ユーザーのターミナル「ルート」アクセスを制限または完全に無効にする強化されたオペレーティングシステムはほとんどありません。

  1. この機能は、永続的なBIOSルートキットがBIOSに書き込んだり、マシン上の他のファームウェアに感染したりするのを防ぎますか?この機能のセキュリティマージンはどのくらいですか?

  2. 上記の攻撃ベクトルを考慮すると、ルートアクセスを完全に無効にする(ハードコード化)か、強力なルートパスワードを使用するだけで違いがありますか?何がより安全ですか?

  3. マルウェアがルートなしでBIOSに書き込むことができるエクスプロイトはありますか?

malwarehardeningrootkitsbiosfirmware
4
user3200534

昔は、BIOSのフラッシュ手順でアクセス制御ができておらず、ルートキットをBIOSに導入する可能性があり、フラッシュチップはルートアクセスを必要としませんでした。より最近の攻撃では、MebromiマルウェアがマシンのBIOSをコードで書き換え、通常のマスターブートレコード感染ルーチンをディスクの最初のセクターに書き込みました。これにより、ハードドライブが交換またはフォーマットされた場合でもマルウェアが存続し、BIOSに対するこれまでのすべての攻撃は、Biosが保護されておらず、簡単に書き込み可能であり、ルートレベルのアクセスを必要としませんでした。

  • ルートアクセスを無効にしても、これらのブートキットまたはルートキットが感染したり、より強力なルートパスワードを取得したりすることを防ぐことはできません。
  • uSB CDを介してBIOSをフラッシュします(コアブートおよびIPXEなどのPCI ROM)
  • ネットワークBOOTKITを介してペイロードを起動>ルートは不要
  • Wifi/Wimax経由でペイロードを起動>ルートは不要
  • 必要に応じてBIOS /ネットワークカードをリモートで再フラッシュします>ルートは不要です

これらの最新のBIOS /ファームウェアルートキットの一部の機能には、

  1. NXビットを削除

  2. CPU更新(マイクロコード)を削除します

  3. SMM保護を削除> SMMリング0アクセスの取得に使用

  4. ASLRを無効にします

  5. 保護を削除して、スーパーバイザ手順が読み取り専用ページに書き込むことができるようにします

それらはテクニック/エクスプロイトであるため、Blackhat Rakshasa Bootkitが2012年に説明したように、BIOS /ファームウェアへのリモート書き込みを可能にする Blackhat

さらに、Windows 8.1のセキュアブートとトラステッドブートの存在は、最近の調査で示されているように、古いBIOS攻撃/バックドアから私たちを保護します https://media.blackhat.com/us-13/US-13-Butterworth -BIOS-Security-WP.pdf 悪意のある/巧妙なユーザーが攻撃を仕掛けることは依然として可能です

2
raven