[Информационная безопасность] Security Week 47: обход защиты компьютера в режиме сна

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
16-Ноя-2020 18:35

10 ноября компания Intel пропатчила уязвимость CVE-2020-8705 в механизме Intel Boot Guard, которая позволяет обходить ключевые методы защиты компьютера, если он находится в режиме сна. Уязвимость подробно описывает исследователь Трэммелл Хадсон (Trammell Hudson). Он приводит реалистичный сценарий атаки, требующий физического доступа к железу и включающий перепрошивку микросхемы BIOS.

Технология Intel Boot Guard предназначена как раз для исключения подобных атак: в теории она гарантирует загрузку только доверенного кода на начальной стадии включения компьютера. Как оказалось, при выходе компьютера из режима сна S3 не на всех устройствах проводится проверка подлинности содержимого флеш-памяти, что позволяет подменить код. Последствия у такой атаки могут быть серьезные. В частности, появляется возможность дешифровки данных на жестком диске, если удастся считать ключи, хранящиеся в оперативной памяти.
Для обнаружения атаки Трэммелл использовал собственную разработку — аппаратный эмулятор флеш-памяти spispy, позволяющий как отслеживать обращения к микросхеме BIOS, так и на лету подменять загрузочный код, частично или целиком. Уязвимость квалифицирована как ошибка Time-of-check/Time-of-Use (TOCTOU) — этим термином описывается ситуация, когда валидация кода проводится «в неподходящий момент», а после проверки сохраняется возможность подмены ПО.
В исследовании есть намек на то, что от дополнительной проверки валидности кода BIOS часто отказываются производители железа (Хадсон обнаружил проблему в устройствах пяти разных вендоров). Возможно, они делают это из-за требований компании Microsoft, устанавливающей серьезные ограничения по времени появления логотипа Windows после выхода из режима сна. Если это правда, безопасность принесли в жертву пользовательскому комфорту. Усугубляет проблему то, что подобные параметры задаются аппаратно и их нельзя изменить программным методом.
Хотя Хадсон точно не знает, как именно компания Intel решила проблему, скорее всего, настройки вендора теперь частично игнорируются, а новая прошивка модуля CSME принудительно проверяет валидность кода BIOS при выходе из сна.
Атаки наподобие той, которую описал Хадсон, по определению не могут быть массовыми, но и закрыть уязвимость будет непросто — нужно дождаться, когда патч дойдет до конкретных устройств через производителя ноутбука или системной платы. С другой стороны, защитить ценные данные от подобной атаки можно самостоятельно: достаточно выключать ноутбук в тех ситуациях, когда он остается без присмотра.
Что еще произошло:
Эксперты «Лаборатории Касперского» в подробностях рассматрели работу двух троянов-шифровальщиков, Ragnar Locker и Egregor. В этих двух примерах показано, как киберпреступники не только вымогают деньги за расшифровку, но и крадут данные жертв и угрожают их публикацией.
Компания Nvidia закрыла еще один серьезный баг в своем софте, на этот раз в ПО GeForce Now. Уязвимость, приводящая к выполнению произвольного кода, связана с используемой в ПО открытой библиотекой OpenSSL.
Компания Avast нашла в Google Play пачку приложений, якобы расширяющих функциональность игры Minecraft, но на самом деле списывающих с жертв по 30 долларов в неделю.
Извините, данный ресурс не поддреживается. :(
Ежемесячный набор патчей Microsoft закрыл как минимум один зиро-дей (про эту уязвимость мы писали две недели назад), а также серьезную уязвимость в сервисе Network File System. Еще одна уязвимость (CVE-2020-1599) позволяет «прицеплять» вредоносный код к исполняемому файлу, сохраняя валидность цифровой подписи. Между тем еще два zero-day пропатчены в браузере Google Chrome.
Извините, данный ресурс не поддреживается. :(
Apple требует от поставщиков ПО предоставлять манифест с детальным описанием работы с пользовательскими данными. Саму компанию при этом критикуют (смотрите твит выше) за новую функциональность в macOS Big Sur: системные приложения теперь могут напрямую подключаться к серверам компании, игнорируя пользовательские брандмауэры и VPN-клиенты. Во-первых, такая практика может эксплуатироваться вредоносным ПО. Во-вторых, подобный подход раскрывает реальный IP пользователя, даже если тот хочет его скрыть.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_intel, #_boot_guard, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 08:08
Часовой пояс: UTC + 5