Технологии

ESET: старые подписи Microsoft позволяли обходить Secure Boot

Исследователи ESET нашли 11 старых shim-образов, которые оставались доверенными и могли использоваться для обхода UEFI Secure Boot на устройствах с Windows и Linux

Один основной источник · Как мы проверяем новости

ESET: старые подписи Microsoft позволяли обходить Secure Boot
Иллюстрация к материалу RedBTC News

Что произошло

Исследователи ESET сообщили, что Secure Boot, отраслевой стандарт Microsoft для защиты Windows, а затем и Linux-устройств от заражений на уровне прошивки, большую часть времени своего существования можно было обходить из-за старых shim-образов.

ESET выявила 11 firmware-образов, как минимум один из которых относится к 2013 году. Эти образы считались дефектными, но по-прежнему оставались подписанными Microsoft.

Как работал обход

Shim-образы были созданы для расширения Secure Boot на Linux-устройства и служебное программное обеспечение. По данным исследователей, старые и забытые shim-образы позволяли полностью обойти защиту, встроенную в UEFI материнской платы.

Проблема возникла из-за того, что Microsoft, отвечающая за подпись shim-образов, не отозвала публично доступные образы после обнаружения в них уязвимостей.

Атакующий мог нарушить цепочку доверенной цифровой подписи прошивки и установить вредоносную прошивку, которая загружается на раннем этапе запуска устройства и сохраняется даже после переустановки ОС или замены жесткого диска.

Почему это важно

Угроза касается как Windows, так и Linux, поскольку shim может быть установлен на устройства с обеими операционными системами.

Исследователь ESET Martin Smolár отметил, что опасность старых shim-образов не связана с новой уязвимостью: для обхода UEFI Secure Boot достаточно старого, все еще доверенного и неотозванного shim-файла, а также базового понимания работы UEFI shim.

Контекст

Secure Boot был представлен в 2012 году для противодействия bootkit — вредоносной прошивке, которая может запускаться до операционной системы.

Без Secure Boot злоумышленники с кратковременным физическим доступом к устройству, даже если оно выключено, могут устанавливать bootkit, похожие на LoJax, MosaicRegressor, CosmicStrand и BlackLotus. Среди других отслеживаемых bootkit упоминаются ESpecter, FinSpy и MoonBounce.

Список CERT показывает, что часть из 11 shim-образов использовалась дистрибьюторами Linux, включая Redhat, OpenSuse и Oracle. Другие входили в стороннее программное обеспечение, например PC-Doctor Finland’s Matriculation Examination Board.

Часть образов была создана до появления таких защит, как SBAT и списки запрета MOK, а другие содержали накопившиеся ошибки в коде или во вторичных бинарных файлах, которые они разрешали запускать.

Источники

Один основной источник. Как мы проверяем новости

  1. arstechnica.com