|
固件开发能打败新的Windows安全功能在联想ThinkPad,远程控制软件,灰鸽子下载
利用目标一零天在ThinkPad的UEFI固件发现
最新发布的漏洞可以禁用写保护关键固件区联想ThinkPad笔记本电脑和其他厂商也可能。许多新的窗口安全功能,如安全启动,虚拟安全模式和凭据保护,取决于低级别的固件被锁定。
开发的,被称为thinkpwn,是本周早些时候,一个叫Dmytro oleksiuk发表,未与联想分享它的进展。这使得它一零天的漏洞-一个漏洞,没有补丁可在其披露的时间。
thinkpwn目标一个权限提升漏洞在一个统一可扩展固件接口(UEFI)的驱动程序,允许攻击者删除闪存写保护,在SMM执行恶意代码(系统管理模式),CPU的特权操作模式。
据oleksiuk,开发可用于禁用安全启动,UEFI功能,密码验证操作系统引导程序的真实性以防止启动级rootkit;打败了Windows 10,采用基于虚拟化的安全防范企业域凭据盗窃的凭据保护功能,和做“恶事”。
UEFI为传统BIOS(基本输入/输出系统更换),是指通过引用规范规范现代计算机固件。然而,实现仍然可以在计算机制造商之间有很大的不同。
由CPU和芯片组厂商如英特尔和AMD提供的参考规范是由一个小数量的独立的BIOS厂商使用(IBV)创建自己的实现,然后授权给PC厂商。PC厂商把这些实现进一步自定义他们自己根据。
根据联想的漏洞发现oleksiuk不是自己的UEFI代码,但提供给公司的至少一个IBV尚未命名的实施。
“联想正在从事的所有的根据以及英特尔确认或排除漏洞的存在其他根据联想提供的BIOS的任何其他实例,以及脆弱的代码的初衷,”该公司在一份咨询星期四说。
该问题的全部范围尚未确定为该漏洞可能也会影响其他供应商除了联想。在GitHub上的thinkpwn笔记,oleksiuk说它出现的漏洞存在于英特尔的参考代码的8系列芯片组,但被固定在2014。
“有一个高的可能性,英特尔的旧代码,这个漏洞是目前在其他OEM厂商固件/病毒,”研究人员说。
联想咨询也暗示,这可能是一个更广泛的问题,通过上市的影响范围为“全行业”。
开发的thinkpwn是UEFI的应用需要执行从USB闪存驱动器采用UEFI Shell实现。这需要物理访问到有针对性的计算机,这限制了这种攻击者可以使用它。
然而,oleksiuk说,更多的努力将有可能利用该漏洞在运行的操作系统,这意味着它可以通过有针对性的恶意软件。
有过去的例子,恶意软件注入恶意代码到增加持久性和隐身的UEFI。例如,意大利监控软件制造商的黑客小组在阿森纳拥有UEFI的rootkit。
|
|