Написан первый UEFI-буткит для Windows 8

ITSECИтальянский хакер, ведущий исследователь в области ИТ-безопасности компании ITSEC Андреа Аллиеви (Andrea Allievi), обнаружил уязвимость в интерфейсе Unified Extensible Firmware Interface (UEFI), использующимся в Windows 8 для инициализации оборудования при включении компьютера и передачи управления загрузчику ОС.

Андреа написал собственную версию UEFI, дополняющую оригинальную версию от Microsoft и позволяющую выполнять на компьютере любой код, успешно игнорируя механизмы защиты Kernel Patch Protection и Driver Signature Enforcement. Если более конкретно, то хакерская программа отслеживает дисковые операции I/O от оригинального UEFI и перехватывает загрузку ядра Windows 8. Подобные действия могут производить и вредоносные программы, руткиты для Windows 8.

UEFI butkit for Windows 8

Данная разработка является первым полноценным буткитом для Windows 8.

Данное исследование демонстрирует индустрии, что новая платформа UEFI так же небезопасна, как и старая технология BIOS. Она всё ещё уязвима, если технология SecureBoot не включена по умолчанию. Для разработчиков вредоносного ПО написать буткит стало гораздо проще, когда есть фреймворк UEFI, тогда как раньше им приходилось кодировать на чистом ассемблере. В то же время, включение SecureBoot с проверкой цифровых подписей программ ограничивает свободу пользователя.


Обновлено (26.09.2012 11:48)