久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 新的英特爾固件啟動驗證旁路可實現(xiàn)低級后門 [打印本頁]

作者: admin 時間: 2019-5-12 09:58
標(biāo)題: 新的英特爾固件啟動驗證旁路可實現(xiàn)低級后門
新的英特爾固件啟動驗證旁路可實現(xiàn)低級后門
(, 下載次數(shù): 671)
通過將PC的SPI閃存芯片替換為包含惡意代碼的SPI閃存芯片，攻擊者可以獲得完整的持久訪問。
研究人員已經(jīng)找到了一種新方法來破壞某些基于Intel的系統(tǒng)的啟動驗證過程，但該技術(shù)也會影響其他平臺，并且可以用于以隱秘和持久的方式危害機器。

研究人員Peter Bosch和Trammell Hudson本周在阿姆斯特丹舉行的Hack in the Box會議上對英特爾參考統(tǒng)一可擴(kuò)展固件接口（UEFI）實施的Boot Guard功能提出了一次檢查時間（TOCTOU）攻擊。。

Boot Guard是一種在英特爾酷睿第四代微體系結(jié)構(gòu)（也稱為Haswell）中添加的技術(shù)，旨在確保低級別固件（UEFI）未被惡意修改。它通過檢查每次計算機啟動時加載的固件模塊是否使用屬于Intel或PC制造商的可信密鑰進(jìn)行數(shù)字簽名來完成此操作。

博世是荷蘭萊頓大學(xué)的一名獨立研究員和計算機科學(xué)專業(yè)的學(xué)生，他在試圖找到一種在他自己的筆記本電腦上使用開源Coreboot固件的方法時發(fā)現(xiàn)了Boot Guard驗證過程中的一個異�，F(xiàn)象。特別是，他注意到在系統(tǒng)驗證了固件并在高速緩存中創(chuàng)建了經(jīng)過驗證的副本后，它稍后從位于串行外設(shè)接口（SPI）存儲器芯片中的原始副本重新讀取模塊 - 存儲UEFI代碼的芯片。

這是不正確的行為，因為系統(tǒng)應(yīng)該只在加密檢查通過后依賴驗證的副本。這使得博世認(rèn)為攻擊者可能有機會在驗證固件代碼之后以及在錯誤地從SPI內(nèi)存重新讀取之前修改固件代碼。他將他的發(fā)現(xiàn)和早期概念驗證實施帶到了著名的硬件和固件研究員Trammell Hudson，他之前的工作包括針對Apple的Thunderbolt技術(shù)的Thunderstrike攻擊。

Hudson證實了博世的調(diào)查結(jié)果并共同致力于一項攻擊，即當(dāng)CPU試圖從SPI內(nèi)存而不是經(jīng)過驗證的副本重新讀取固件模塊時，將編程設(shè)備連接到閃存芯片以響應(yīng)惡意代碼。結(jié)果是惡意和未簽名的代碼成功執(zhí)行，Boot Guard旨在防止這種情況。

雖然攻擊需要打開筆記本電腦外殼以將夾式連接器連接到芯片，但有一些方法可以使其永久化，例如用模仿UEFI的惡意代替SPI芯片并提供惡意代碼。實際上，Hudson已經(jīng)設(shè)計出了這樣一種仿真器芯片，它具有與真正的SPI閃存芯片相同的尺寸，并且如果添加了一些塑料涂層，可以在目視檢查時輕松地通過。

這種TOCTOU攻擊的含義是什么？
創(chuàng)建英特爾啟動防護(hù)和安全啟動功能是為了防止攻擊者將惡意軟件注入到UEFI或啟動過程中加載的其他組件（如操作系統(tǒng)引導(dǎo)加載程序或內(nèi)核）中。此類惡意軟件程序已存在很長時間，稱為啟動rootkit或bootkit，攻擊者使用它們是因為它們非常持久且難以刪除。這是因為它們會在每次重新啟動后重新感染操作系統(tǒng)，然后任何防病毒程序都有機會啟動并檢測它們。

在其芯片交換變體中，Hudson和Bosch的攻擊就像一個持久的基于硬件的bootkit。它可用于從系統(tǒng)中竊取磁盤加密密碼和其他敏感信息，而且無需打開設(shè)備并仔細(xì)檢查其主板就很難檢測到。

即使這種物理攻擊需要有針對性的方法并且永遠(yuǎn)不會成為普遍的威脅，但它們可能對能夠訪問有價值信息的企業(yè)和用戶構(gòu)成嚴(yán)重風(fēng)險。

這種物理折衷可能以不同的方式發(fā)生，例如在邪惡女傭型場景中，高價值目標(biāo)，如公司的首席執(zhí)行官，前往外國，并將其筆記本電腦留在酒店房間無人看管。博世告訴CSO，對于有經(jīng)驗的攻擊者使用合適的設(shè)備，用一個設(shè)計用于執(zhí)行此攻擊的流氓芯片取代SPI內(nèi)存芯片需要15到20分鐘。

另一種可能性是供應(yīng)鏈攻擊或所謂的“攔截”技術(shù)，其中計算機貨物在運輸過程中被攔截，例如由情報機構(gòu)攔截，然后重新進(jìn)行后續(xù)處理，然后重新密封以隱藏任何篡改。愛德華·斯諾登泄露的文件顯示，國家安全局使用這種技術(shù)，而且可能不是唯一這樣做的情報機構(gòu)。

博世告訴CSO，一些設(shè)備確實具有防篡改密封或機制，但擁有正確資源和知識的人可以輕松繞過這些防御。

惡意員工也可以在他們的工作發(fā)布的筆記本電腦上使用這種技術(shù)，以繞過訪問控制并獲得管理員權(quán)限，或者在他們離開公司后保持對公司數(shù)據(jù)和網(wǎng)絡(luò)的訪問。這種妥協(xié)將在被擦除并重新投入使用的計算機中存在。

多年來經(jīng)濟(jì)間諜活動中發(fā)生過多起案件，在這些案件中，為各種公司工作的員工被竊取商業(yè)機密并將其傳遞給外國政府或競爭對手。

緩解是什么？
這兩位研究人員在1月份向英特爾通報了他們的調(diào)查結(jié)果，并告訴CSO該芯片制造商認(rèn)真對待這一問題，并對其進(jìn)行了嚴(yán)格的評估。該公司已經(jīng)有可用于其參考UEFI實施的補丁（稱為Tianocore），它與BIOS供應(yīng)商和PC制造商共享。研究人員尚未對這些修復(fù)進(jìn)行測試，但至少基于描述它們似乎是全面的，并且應(yīng)該在未來防止類似的攻擊。

問題是分發(fā)UEFI補丁從來都不是一個簡單的過程。英特爾與擁有各種PC制造商合同的UEFI / BIOS供應(yīng)商共享其UEFI套件。然后，這些OEM在將產(chǎn)品發(fā)布到產(chǎn)品中之前進(jìn)行自己的固件定制。這意味著任何后續(xù)修復(fù)都需要所有相關(guān)方的協(xié)作和協(xié)調(diào)，更不用說需要真正關(guān)心安裝這些UEFI更新的最終用戶。

影響英特爾CPU的關(guān)鍵Meltdown和Spectre漏洞的補丁也需要UEFI更新，并且一些PC供應(yīng)商需要幾個月的時間才能發(fā)布受影響的產(chǎn)品。許多型號從未以UEFI更新的形式收到補丁，因為他們的制造商不再支持它們。

兩位研究人員計劃在接下來的幾個月內(nèi)發(fā)布他們的概念驗證代碼，作為一種名為SPISpy的工具的一部分，他們希望這些工具可以幫助其他研究人員和感興趣的各方檢查他們自己的機器是否易受攻擊，并調(diào)查其他平臺上的類似問題。

“我真的希望看到業(yè)界開始向他們的固件開源，以便更容易驗證其正確性和安全性，”博世說。

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/)