Через «дыру» в ноутбуках Dell и HP можно захватить ядро ОС
Во встроенном ПО ноутбуков Dell и HP найдена уязвимость, позволяющая компрометировать их через режим прямого доступа к памяти. Эксперты считают, что аналогичная проблема может быть характерна и для устройств других производителей.
Прямой доступ
Серьезные уязвимости, выявленные в BIOS некоторых ноутбуков Dell и HP, позволяют злоумышленникам получать доступ к важной системной информации и привилегии уровня ядра с помощью системы DMA (Direct Memory Access - режим прямого доступа к памяти).
DMA - это режим быстрого обмена данными между устройствами компьютера (встроенными или периферийными) или же между устройством и основной памятью, в котором не участвуют ни операционная система, ни центральный процессор.
В то время как DMA позволяет экономить на вычислительных ресурсах, киберзлоумышленники могут воспользоваться этим режимом для чтения памяти компьютера и записи в нее напрямую - при наличии необходимых уязвимостей.
Вдобавок, как выяснили эксперты компании Eclysium, у атакующих появляется возможность обходить аппаратные защитные механизмы, такие как UEFI Secure Boot, Intel Boot Guard, HP Sure Start и Microsoft Virtualization-Based Security.
В случае успешной компрометации у злоумышленников появляется возможность установки контроля над ядром операционной систем.
"Злоумышленник тем самым получает возможность запускать код на уровне ядра в системе, внедрять широкие спектр "имплантов" и производить целый ряд других действий, включая запуск системных шеллов и отключение паролей", - говорится в исследовании Eclypsium.
Уязвимость в Dell
Эксперты компании установили, что в ноутбуках-трансформерах Dell XPS 13 7390, выпущенных в октябре 2019 г., присутствует серьезный "баг", позволяющий производить предзагрузочную атаку на DMA.
Уязвимость CVE-2019-18579 связана с небезопасной конфигурацией BIOS: в настройках по умолчанию интерфейс Thunderbolt и соответствующая шина PCIe активированы еще до загрузки всего устройства.
В Dell подтвердили наличие проблемы, отметив, что вследствие этого неавторизованный злоумышленник с физическим доступом к пользовательской системе может напрямую считывать содержимое основной памяти компьютера и записывать данные в нее.
В Eclysium заявили, что смогли произвести инъекцию кода в DMA через интерфейс Thunderbolt, причем никаких особых манипуляций с устройством предпринимать не понадобилось: для успешной атаки нужен был всего-навсего один свободный порт.
Проблема с HP
Вторая уязвимость выявлена в HP ProBook 640 G4, оснащенный защитным механизмом HP Sure Start Gen4.
Ноутбуки с Sure Start укомплектованы специальным встроенным контроллером, который "проверяет целостность BIOS до того, как процессор выполняет первую строчку кода", - говорится в исследовании Eclypsium. Однако в UEFI ноутбука нашлась уязвимость, которая позволяет запускать неавторизованный код в первый момент загрузки устройства, то есть еще до запуска операционной системы.
"Дозагрузочные атаки через DMA срабатывают именно в этот критический момент, и возникает угроза тотальной компрометации системы, даже при наличии средств защиты целостности кода (таких как HP Sure Start, Intel Boot Guard или Microsoft Virtualization Based Security с Device Guard)", - отмечают исследователи.
В случае, если есть возможность вскрыть корпус устройства, то беспроводную карту M.2 можно заменить на отладочную платформу Xilinx SP605 FPGA.
"FPGA была подключена к нашей атакующей машине, после чего была попытка произвести атаку с помощью широко известной методики атак на DMA. Нам удалось успешно произвести атаку и получить контроль над устройством. Используя DMA для внесения изменений в оперативную память в процессе загрузки, мы добились возможности производить запуск произвольного кода, обходя защиту HP Sure Start...", - говорится в исследовании Eclypsium.
Компания HP уже выпустила необходимое обновление.
Эксперты предупреждают, что сходные атаки можно производить и на ноутбуки других производителей.
"Это похоже на правду, поскольку, как справедливо замечают исследователи Eclypsium, предзагрузочные процессы являются слабым местом для многих компьютерных систем, не исключая серверы, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult. - Вопрос в том, необходим ли физический доступ к устройствам или можно обойтись без него. Теоретическая возможность использовать вредоносные программы для совершения подобных атак есть, но степень угрозы в каждом отдельном случае будет, скорее всего, разной. В любом случае, владельцам любых ноутбуков следует внимательно отслеживать выход новых версий встроенного ПО от производителей и устанавливать их как можно скорее, если процесс обновления не автоматизирован".
