Ваш компьютер вам врёт: в BIOS написано «защищено», а на деле — заходи, кто хочет

leer en español

UEFI IOMMU CERT GIGABYTE MSI материнские платы уязвимость
Ваш компьютер вам врёт: в BIOS написано «защищено», а на деле — заходи, кто хочет
UEFI IOMMU CERT GIGABYTE MSI материнские платы уязвимость

Громкие обещания брендов не прошли проверку на прочность.

image

На некоторых материнских платах, использующих прошивку UEFI, обнаружена серьёзная уязвимость, из-за которой системы оказываются незащищёнными от атак с прямым доступом к памяти на ранней стадии загрузки. Хотя программное обеспечение утверждает, что защита от таких вмешательств активирована, на деле она не срабатывает из-за некорректной инициализации IOMMU — модуля, ограничивающего доступ периферийных устройств к оперативной памяти.

В результате, злоумышленник, имеющий физический доступ к компьютеру, может использовать совместимое с DMA устройство, чтобы считывать или изменять данные до того, как операционная система включит собственные механизмы защиты.

Основу доверенной загрузки современных устройств составляют два компонента: UEFI и IOMMU. Первый отвечает за начальную настройку оборудования и применение базовых мер безопасности. Второй обеспечивает контроль за прямым доступом к памяти со стороны подключённых устройств. Однако в затронутых прошивках есть расхождение между заявленной и фактической реализацией защиты — несмотря на то, что интерфейс сообщает об активных ограничениях, фактически они не работают.

Проблема затрагивает материнские платы от нескольких крупных производителей. В их прошивке защита не активируется на этапе передачи управления от прошивки к операционной системе. Это открывает окно возможностей для атак с использованием устройств, подключаемых по шине PCI Express, позволяя вмешиваться в загрузку или получать доступ к конфиденциальной информации. Такой сценарий особенно опасен в ситуациях, где физический доступ к компьютеру невозможно полностью исключить.

Для устранения уязвимости производители начали выпускать обновления прошивок, в которых процесс включения IOMMU откорректирован. Специалисты призывают устанавливать эти версии как можно скорее. Особенно это касается систем, работающих в средах с особыми требованиями к изоляции и доверию, например в виртуализированных или облачных инфраструктурах, где IOMMU используется для разграничения доступа между компонентами.

По информации координационного центра CERT при Институте программной инженерии, проблема зафиксирована на платах ASRock, ASUS, GIGABYTE и MSI. При этом устройства от AMD, Intel, American Megatrends, Insyde и других поставщиков не подвержены уязвимости. Сообщается, что в обнаружении недостатка принимали участие сотрудники компании Riot Games, а координацию с производителями обеспечивал тайваньский национальный CERT.

Специалисты подчёркивают, что игнорирование проблемы может привести к компрометации системы до загрузки операционной среды, а значит — к полному подрыву доверия к платформе. Отслеживать выход обновлений стоит напрямую на сайтах производителей, поскольку процесс выпуска исправлений идёт по разным графикам.