torstai 16. heinäkuuta 2015

Hacking Team murtautui UEFI-BIOSiin

Tietoturvayhtiö Trend Micro on löytänyt uuden haitakkeen Hacking Teamin 400Gt datavuoto dumpista. Kyse on rootkitistä joka asentuu suoraan UEFIin.

UEFI (Unified Extensible Firmware Interface) kehitettiin korvaamaan perinteisempi BIOS, tietokoneen sisäinen ohjelma joka hallitsee järjestelmän laitteita. UEFI on myös monipuolisempi joka mahdollistaa taas erilaiset hyökkäykset kyseistä järjestelmää kohtaan, tämäkin on tosin huomioitu järjestelmän kehityksessä ja se on suojattu melko hyvin, tosin vain jos suojaukset kytkee päälle.

Hacking Teamin datadumpista löytyi siis kyseisen rootkitin lähdekoodi, vielä ei ole selvillä se kuinka rootkit lopulta asentuu UEFIin, ilmeisesti tarvitaan kuitenkin saastunut UEFI-päivitys johon kyseinen rootkit on lisätty ja päivitys olisi siten asennettava kohdetietokoneessa paikallisesti tai miksei myös etäyhteyden kautta.

Kun saastunut UEFI-päivitys on saatu asennettua, alkaa se kuuntelemaan tietokoneen taustalla Windows käyttöjärjestelmää, kun se havaitsee Windowsin asentaa se salaa spyware sovelluksen jonka avulla hyökkääjä voi ottaa yhteyttä tietokoneeseen ja vakoilla sen käyttöä reaaliaikaisesti sekä hallita sitä.

Rootkitin lähdekoodia (lähde: Trend Micro)

Tämänkaltainen rootkit ei ole mahdoton mutta hyvin harvinainen. Mikään ei viittaa käyttäjälle siitä että UEFI olisi saastunut, vakoilu uhkaa ei siis voi sulkea pois sillä että vaihtaa tietokoneen kovalevyn ja asentaa käyttöjärjestelmän uudelleen, tai periaatteessa jos käyttäjä vaihtaa Windowsin Linuxiin niin tuolloin UEFIssä lymyilevä spyware ei asennu sillä se on yksinomaan Windows ympäristön ajotiedosto.

Mikä UEFI ja kuinka voin suojautua moiselta hyökkäykseltä?

UEFI BIOS on tututumpi tuoreista tai melko tuoreista kannettavista tietokoneista mutta yhä enemmän sitä näkee myös työpöytä tietokoneiden emolevyillä.

Se kuinka voi suojautua tämänkaltaiselta rootkitiltä on melko helppoa, UEFIssa täytyy asettaa SecureFlash toiminto päälle ja varmistua siitä että järjestelmässä on asennettuna valmistajan tarjoama tuorein versio UEFI ohjelmistosta.

Mikäli epäilee että moinen rootkit olisi mahdollisesti jo omassa UEFI:saan, kannattaa silloin ehdottomasti käydä tietokoneen valmistajan/emolevyn valmistajan kotisivuilla ja käydä lataamassa viimeisin versio, vaikka sama versio olisi jo asennettuna omaan UEFI:iin ja ylikirjoittaa se juuri ladatulla versiolla.

UEFI:n pääsyyn kannattaa asettaa myös salasana.

Joissakin emolevyissä on jumpperiasetus joka täytyy asentaa "enable" tilaan siinä vaiheessa kun päivittää BIOSin tai tässä tapauksessa UEFI:n, joten varmista onko emolevyssäsi tuki tälle ja aseta jumpperi "disable" tilaan, tästä kerrotaan enemmän emolevysi ohjekirjassa.

LÄHDE: THN