2024/09/06 18:28:52

UEFI

Унифицированный расширяемый интерфейс для встроенного программного обеспечения (Unified Extensible Firmware Interface — UEFI) — стандартный посредник между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Основное предназначение UEFI корректно инициализировать оборудование при включении системы, передать управление загрузчику или непосредственно ядру операционной системы. Кроме того, UEFI выполняет функции BIOS, то есть интерфейса, который использовался всеми IBM PC-совместимыми персональными компьютерами. Первая спецификация UEFI была разработана Intel для процессоров Itanium. В настоящее время разработкой UEFI занимается Unified EFI Forum.

Содержание

История

2024: ФСТЭК рекомендует закрыть уязвимость, которой могут воспользоваться программы-невидимки

В начале сентября ФСТЭК разослала предупреждение с рекомендациями об обновлении UEFI (BIOS) различных производителей процессоров и материнских плат. Рекомендация связана с наличием в продуктах таких компаний как Intel, Fujitsu, AMD, NVIDIA, Ampere Computing, Marvell Semiconductor, Dell, SuperMicro, Gigabyte и некоторых других уязвимости BDU:2024-06694[1] или PKfail[2], которая позволяет злоумышленникам встроить в системы код, который будет исполняться до загрузки самой операционной системы. Обычно такую возможность используют программы-невидимки (rootkit), которые очень тяжело обнаружить локальными методами. Поэтому, хотя индекс CVSSv3 у уязвимости не очень большой – 8,2 из 10, тем не менее, уязвимость может представлять серьезную угрозу для защищенных информационных систем.

Сама уязвимость была обнаружена специалистами компании Binarly[3] в конце июля этого года, и связана она была с криптографическими тестовыми «мастер-ключами» для Secure Boot, которые поставлялись производителям материнских плат. Эти тестовые ключи для безопасной загрузки Windows с помощью Secure Boot выдавала разработчикам аппаратуры компания American Megatrends International (AMI), которая, собственно, и создала код UEFI.

История компрометации тестовых ключей AMI

Предполагалось, что производители аппаратуры заменят эти тестовые ключи, которые помечались как недоверенные, на собственные, выданные разработчиком Secure Boot – Microsoft. Однако оказалось, что производители системных плат забыли об этом требовании, что и позволяло запускать посторонний код, подписанный тестовым мастер-ключом, как легитимный и доверенный.

Описание тестового сертификата AMI с предупреждением, что он является недоверенным (DO NOT TRUST)

«
Эта уязвимость эксплуатируется только локально, на уровне до загрузки операционной системы, – отметил в разговоре с TAdviser Альберт Антонов, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage. – Удалëнный злоумышленник не может ее использовать, поэтому данная уязвимость - одна из многих некритичных. При ее наличии компаниям необходимо обновить BIOS материнской платы до актуальной версии.
»

Собственно, именно из-за невозможности дистанционной эксплуатации уязвимости ее рейтинг в CVSS снижен, тем не менее, обычно такая уязвимость используется не для проникновения в систему, а для закрепления в ней. То есть вредонос проникает на устройство с помощью другой уязвимости, а потом за счет PKfail укореняется в системе, становясь невидимым для операционной системы. Вычистить вредонос, который имеет подобный скрытый компонент, оказывается очень сложно, поскольку нужно изучать и модифицировать процедуру загрузки ОС.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.7 т

Поэтому ФСТЭК рекомендует заранее избавиться от самой возможности использовать PKfail для закрепления вредоносов в системе. Но если UEFI по каким-то причинам обновить невозможно, то, как минимум, необходимо встроить в систему средство доверенной загрузки (электронный замок), который самостоятельно контролирует путь загрузки программных компонент без использования UEFI.

«
ФСТЭК России уже выпущены рекомендации касательно защиты от эксплуатации данной уязвимости, – заявил TAdviser Антон Квардаков, заместитель начальника отдела технической защиты конфиденциальной информации Cloud Networks. – Однако я бы хотел остановиться на другой проблеме – оборудование, которое попадает под данную уязвимость, не может официально получить обновление на сайте производителя из-за санкционных ограничений. Например, если перейти на сайт с рекомендациями производителя Intel, то мы видим сообщение о приостановке деятельности на территории РФ и Беларуси. В связи с этим назревает еще другая проблема: необходимость пересмотра наличия недекларированных возможностей.
»

Предупреждение, которое возникает при попытке получить обновления с территории России

Действительно, часть производителей уязвимых устройств перестали поддерживать свои продукты на территории России, поэтому обновить UEFI для них может оказаться непростой задачей. Владельцам таких устройств либо придется получать обновления по каналам параллельного импорта, либо устанавливать электронный замок, которых в свое время российскими разработчиками было создано достаточно.

Примечания