Логотип
Баннер в шапке 1
Баннер в шапке 2
2024/09/06 18:28:52

UEFI

Унифицированный расширяемый интерфейс для встроенного программного обеспечения (Unified Extensible Firmware Interface — UEFI) — стандартный посредник между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Основное предназначение UEFI корректно инициализировать оборудование при включении системы, передать управление загрузчику или непосредственно ядру операционной системы. Кроме того, UEFI выполняет функции BIOS, то есть интерфейса, который использовался всеми IBM PC-совместимыми персональными компьютерами. Первая спецификация UEFI была разработана Intel для процессоров Itanium. В настоящее время разработкой UEFI занимается Unified EFI Forum.

Содержание

История

2024: ФСТЭК рекомендует закрыть уязвимость, которой могут воспользоваться программы-невидимки

В начале сентября ФСТЭК разослала предупреждение с рекомендациями об обновлении UEFI (BIOS) различных производителей процессоров и материнских плат. Рекомендация связана с наличием в продуктах таких компаний как Intel, Fujitsu, AMD, NVIDIA, Ampere Computing, Marvell Semiconductor, Dell, SuperMicro, Gigabyte и некоторых других уязвимости BDU:2024-06694[1] или PKfail[2], которая позволяет злоумышленникам встроить в системы код, который будет исполняться до загрузки самой операционной системы. Обычно такую возможность используют программы-невидимки (rootkit), которые очень тяжело обнаружить локальными методами. Поэтому, хотя индекс CVSSv3 у уязвимости не очень большой – 8,2 из 10, тем не менее, уязвимость может представлять серьезную угрозу для защищенных информационных систем.

Сама уязвимость была обнаружена специалистами компании Binarly[3] в конце июля этого года, и связана она была с криптографическими тестовыми «мастер-ключами» для Secure Boot, которые поставлялись производителям материнских плат. Эти тестовые ключи для безопасной загрузки Windows с помощью Secure Boot выдавала разработчикам аппаратуры компания American Megatrends International (AMI), которая, собственно, и создала код UEFI.

Binarly
История компрометации тестовых ключей AMI

Предполагалось, что производители аппаратуры заменят эти тестовые ключи, которые помечались как недоверенные, на собственные, выданные разработчиком Secure Boot – Microsoft. Однако оказалось, что производители системных плат забыли об этом требовании, что и позволяло запускать посторонний код, подписанный тестовым мастер-ключом, как легитимный и доверенный.

GitHub
Описание тестового сертификата AMI с предупреждением, что он является недоверенным (DO NOT TRUST)

«
Эта уязвимость эксплуатируется только локально, на уровне до загрузки операционной системы, – отметил в разговоре с TAdviser Альберт Антонов, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage. – Удалëнный злоумышленник не может ее использовать, поэтому данная уязвимость - одна из многих некритичных. При ее наличии компаниям необходимо обновить BIOS материнской платы до актуальной версии.
»

Собственно, именно из-за невозможности дистанционной эксплуатации уязвимости ее рейтинг в CVSS снижен, тем не менее, обычно такая уязвимость используется не для проникновения в систему, а для закрепления в ней. То есть вредонос проникает на устройство с помощью другой уязвимости, а потом за счет PKfail укореняется в системе, становясь невидимым для операционной системы. Вычистить вредонос, который имеет подобный скрытый компонент, оказывается очень сложно, поскольку нужно изучать и модифицировать процедуру загрузки ОС.Работа с артефактами разработки: каким отечественным инструментом заменить Sonatype Nexus и JFrog Artifactory 2.8 т

Поэтому ФСТЭК рекомендует заранее избавиться от самой возможности использовать PKfail для закрепления вредоносов в системе. Но если UEFI по каким-то причинам обновить невозможно, то, как минимум, необходимо встроить в систему средство доверенной загрузки (электронный замок), который самостоятельно контролирует путь загрузки программных компонент без использования UEFI.

«
ФСТЭК России уже выпущены рекомендации касательно защиты от эксплуатации данной уязвимости, – заявил TAdviser Антон Квардаков, заместитель начальника отдела технической защиты конфиденциальной информации Cloud Networks. – Однако я бы хотел остановиться на другой проблеме – оборудование, которое попадает под данную уязвимость, не может официально получить обновление на сайте производителя из-за санкционных ограничений. Например, если перейти на сайт с рекомендациями производителя Intel, то мы видим сообщение о приостановке деятельности на территории РФ и Беларуси. В связи с этим назревает еще другая проблема: необходимость пересмотра наличия недекларированных возможностей.
»

Intel
Предупреждение, которое возникает при попытке получить обновления с территории России

Действительно, часть производителей уязвимых устройств перестали поддерживать свои продукты на территории России, поэтому обновить UEFI для них может оказаться непростой задачей. Владельцам таких устройств либо придется получать обновления по каналам параллельного импорта, либо устанавливать электронный замок, которых в свое время российскими разработчиками было создано достаточно.

Примечания

  1. BDU:2024-06694: Уязвимость микропрограммного обеспечения UEFI (BIOS)
  2. Detected Products vulnerable to PKfail
  3. PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem
Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:UEFI»

Править
В России заболеваемость раком легких у мужчин снижается, у женщин - растет
Выпущен рассасывающийся имплантат для восстановления груди после лечения рака молочных желез
Представлен умный напальчник, который контролирует здоровье человека по поту
Выпущена инсулиновая помпа в виде пластыря
Конференция «IT Government Day 2024» состоится 9 октября
Конференция «Banks IT Day 2024» состоится 25 сентября
10 сентября состоится конференция «Импортозамещение 2024: реальный опыт»
Конференция «IT Infrastructure Day 2024» состоится 23 октября
Конференция «IT Retail Day 2024» состоится 16 октября
Конференция «Digital Transformation Day 2024» состоится 24 сентября
Конференция «IT Security Day 2024» состоится 17 октября
Конференция «ИТ в промышленности 2024» состоится 17 сентября
Гид TAdviser по российским заводам компьютерной техники
Как разработать дизайн мобильной операционной системы с нуля: кейс РОСА и 65apps
Группа Rubytech и разработчик российского веб-сервера Angie объединяют ресурсы и экспертизу для развития продуктов
«Базис» расширил возможности DevOps-конвейера разработки Basis Digital Energy
Возможности и нюансы применения Kotlin в автоматизации тестирования ПО
Экосистема виртуализации Space: российское ПО для создания облачной инфраструктуры
Павел Коростелев, «Код Безопасности»: Российский рынок NGFW переживает бум развития
Алексей Фоменко, «Группа Астра»: Astra Linux 1.8 — операционная система нового поколения
Геотехнический мониторинг в городах: предотвращение аварийных ситуаций
Юрий Дышлевой, Positive Technologies: Сейчас формируется достаточно значимый отложенный спрос на NGFW
«Цитрос» (SL Soft): решение трех популярных задач документооборота
Юрий Востриков, BPMSoft: AI — это модно, но для BPM-систем отнюдь не главное
TAdviser выпустил новую Карту российского рынка информационной безопасности: 250 разработчиков и поставщиков услуг
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2024
Спасали, но не спасли. Как государство пыталось реанимировать разработчика суперкомпьютеров «Т-Платформы» перед банкротством
Гид по NGFW. 10 наиболее заметных продуктов, доступных на российском рынке
Российский рынок решений виртуализации: тенденции, перспективы, ключевые вендоры. Обзор TAdviser
Вынесен приговор по уголовному делу бывшему CIO Федерального Казначейства Сергею Гуральникову — 4,5 года колонии
Бюджеты цифровой трансформации федеральных органов власти. Ранкинг TAdviser
Цифровизация ритейла: тренды, инновации, крупнейшие ИТ-поставщики. Обзор TAdviser