ESET: старые подписи Microsoft позволяли обходить Secure Boot
Исследователи ESET нашли 11 старых shim-образов, которые оставались доверенными и могли использоваться для обхода UEFI Secure Boot на устройствах с Windows и Linux
Один основной источник · Как мы проверяем новости

Что произошло
Исследователи ESET сообщили, что Secure Boot, отраслевой стандарт Microsoft для защиты Windows, а затем и Linux-устройств от заражений на уровне прошивки, большую часть времени своего существования можно было обходить из-за старых shim-образов.
ESET выявила 11 firmware-образов, как минимум один из которых относится к 2013 году. Эти образы считались дефектными, но по-прежнему оставались подписанными Microsoft.
Как работал обход
Shim-образы были созданы для расширения Secure Boot на Linux-устройства и служебное программное обеспечение. По данным исследователей, старые и забытые shim-образы позволяли полностью обойти защиту, встроенную в UEFI материнской платы.
Проблема возникла из-за того, что Microsoft, отвечающая за подпись shim-образов, не отозвала публично доступные образы после обнаружения в них уязвимостей.
Атакующий мог нарушить цепочку доверенной цифровой подписи прошивки и установить вредоносную прошивку, которая загружается на раннем этапе запуска устройства и сохраняется даже после переустановки ОС или замены жесткого диска.
Почему это важно
Угроза касается как Windows, так и Linux, поскольку shim может быть установлен на устройства с обеими операционными системами.
Исследователь ESET Martin Smolár отметил, что опасность старых shim-образов не связана с новой уязвимостью: для обхода UEFI Secure Boot достаточно старого, все еще доверенного и неотозванного shim-файла, а также базового понимания работы UEFI shim.
Контекст
Secure Boot был представлен в 2012 году для противодействия bootkit — вредоносной прошивке, которая может запускаться до операционной системы.
Без Secure Boot злоумышленники с кратковременным физическим доступом к устройству, даже если оно выключено, могут устанавливать bootkit, похожие на LoJax, MosaicRegressor, CosmicStrand и BlackLotus. Среди других отслеживаемых bootkit упоминаются ESpecter, FinSpy и MoonBounce.
Список CERT показывает, что часть из 11 shim-образов использовалась дистрибьюторами Linux, включая Redhat, OpenSuse и Oracle. Другие входили в стороннее программное обеспечение, например PC-Doctor Finland’s Matriculation Examination Board.
Часть образов была создана до появления таких защит, как SBAT и списки запрета MOK, а другие содержали накопившиеся ошибки в коде или во вторичных бинарных файлах, которые они разрешали запускать.
Источники
Один основной источник. Как мы проверяем новости


