Ботнет Glupteba достигает устойчивости с помощью неизвестного UEFI-буткита .
Уязвимы миллионы устройств, а рабочего исправления до сих пор нет.
Сразу 9 уязвимостей в Tianocore EDK II обеспечивают хакерам полную свободу злонамеренных действий.
Новые уязвимости обеспечивают злоумышленникам полный контроль над устройствами.
Борьба с BlackLotus непосильна для специалистов, значит на проблему нужно посмотреть с другой стороны.
Теперь любой желающий может загрузить и запустить ее.
Помимо официальных обновлений от Microsoft, агентство привело необходимые меры защиты.
Корпорация выпустила рекомендации по защите от UEFI-буткита BlackLotus.
Для работы буткита злоумышленники используют старую уязвимость, которая, тем не менее, до сих пор актуальна на многих компьютерах.
Злоумышленник может получить доступ к системным ресурсам в любое время, даже когда система выключена.
Успешная эксплуатация уязвимости позволяет обойти защиту и установить руткит или буткит.
Предложенный Поттерингом дизайн опирается на единый универсальный образ ядра Linux.
Буткит может вызвать страх у ИБ-сообщества из-за своих мощных возможностей.
Обнаруженные уязвимости в загрузчиках затрагивают устройства, выпущенные за последние 10 лет.
По мнению специалистов, руткит под названием CosmicStrand связан с китайской APT.
Все три уязвимости связаны с ошибкой переполнения буфера и позволяют злоумышленникам повышать привилегии.
Специалисты из ESET в своем свежем подкасте обсудили ESPecter – один из немногих буткитов для UEFI.
Уязвимости затрагивают более 200 моделей устройств HP
В список затронутых продуктов входят планшеты IdeaPad, игровые устройства Legion, а также ноутбуки Flex и Yoga.
Трансляция состоится 15 марта в 14:00 (по московскому времени).
Уязвимости позволяют отключить аппаратные функции безопасности, установить вредоносы и внедрить бэкдоры.
Злоумышленники смогли установить буткит без необходимости обходить проверки безопасности прошивки.
Вредоносная программа TrickBoot может получить возможность чтения, записи и удаления прошивок, если на устройстве отключена защита от записи UEFI/BIOS.
С доступом к прошивке UEFI злоумышленник может установить персистентность на системе, чтобы защититься от переустановки ОС.
В основу компонентов буткита UEFI положен код Vector-EDK, который был создан кибергруппой Hacking Team.
Проэксплуатировав проблемы, атакующий может скомпрометировать систему и получить контроль над ней.
По словам ИБ-эксперта, для нормальной работоспособности нативный накопитель удаленных файлов должен быть заполнен менее чем на 50%.
Благодаря ее структуре технологию UEFI можно использовать на различных платформах.
Ведущие поставщики GNU\Linux опубликовали рекомендации к реализации технологии UEFI Secure Boot.