Alfonso Maruccia

LightEater infetta il BIOS con poco

Gli attacchi in stile bootkit diventano economici e facili da eseguire grazie alla crescente pervasivitÓ dello standard UEFI, pensato (tra l'altro) per aumentare la sicurezza del PC

Roma - Gli esperti di LegbaCore hanno messo a nudo l'insicurezza dello standard UEFI durante la conferenza CanSecWest, dimostrando l'efficacia di una nuova tipologia di attacchi progettata per sfruttare una delle principali caratteristiche della tecnologia che sta prendendo il posto dello storico BIOS come firmware di controllo a basso livello del PC.

I ricercatori promettono in particolare di poter infettare "milioni di BIOS", usando un codice malevolo chiamato LightEater capace di bypassare le presunte misure di sicurezza "forti" di sistemi operativi molto ben considerati in ambito di OPSEC come Tails.

Nella loro presentazione, gli hacker di LegbaCore hanno mostrato come LightEater sia in grado di prendere silenziosamente il controllo dei firmware UEFI su motherboard e sistemi targati Gigabyte, Acer, MSI, HP e Asus, compromettendo la modalità di funzionamento a più alto livello di priorità su una CPU x86 nota come System Management Mode (SMM).
LightEater si installa attraverso una connessione di rete e non necessita dell'accesso fisico al PC da attaccare, dicono i ricercatori, mentre il principale motivo di "successo" dell'attacco dipende dal fatto che buona parte del codice per il software dei firmware UEFI viene riutilizzata da tutti i produttori di motherboard e laptop.

UEFI è una tecnologia modulare pensata per garantire funzionalità enormemente più complesse rispetto allo storico BIOS introdotto con il primo PC della storia (IBM 5150), e proprio questa sua notevole complessità favorisce il riutilizzo del codice che porge il fianco all'hack di LegbaCore. Nel recente passato, altri ricercatori di sicurezza avevano evidenziato i rischi della tecnologia UEFI in relazione al sistema Absolute Computrace.

Alfonso Maruccia
Notizie collegate
66 Commenti alla Notizia LightEater infetta il BIOS con poco
Ordina
  • Lenovo nuovo di pacco con i7, in UEFI e Win 8.1 ,
    estratto codice di licenza di Win 8.1 e stampato,
    disattivati SecureBoot e UEFI e lasciato in Legacy,
    funzione di cancellazione disco GPT,
    inizializzazione disco di base MBR,
    partizionamento:
    C: (LABEL: WINDOWS) 115gb
    D: (LABEL: DOCUMENTI) 350gb
    installazione di Win 8.1 con product key originale
    INCULO ALL'NSA,
    INCULO AL TRUSTED COMPUTING
    INCULO A LENOVO
    non+autenticato
  • Bastasse questo...
    non+autenticato
  • non capisco che vuoi dire ?
  • - Scritto da: Lorenzo
    > Lenovo nuovo di pacco con i7, in UEFI e Win 8.1 ,
    > ...
    > INCULO A LENOVO

    come funziona questa cosa? prima gli dai i soldi e poi li "freghi"?
    non+autenticato
  • il Securboot in tutti i computer con licenza OEM, si può disabilitare, poi tra l'altro con lenovo c'è tanto di guadagnato visto che rilascia i driver anche per 7.

    Comunque meglio prendersi la versione con freedos.
  • Ma scusate la mia ignoranza
    E' così facile riprogrammare un bios?
    Sostituirlo con uno infetto e rendere ugualmente il PC
    funzionante?

    Non lo so chiedo agli esperti
    non+autenticato
  • si con uefi è ancora più facile perché è modulare, basta cambiare l'hook di un modulo non fundamentale al boot della macchina.
    purtroppo chi non è tecnico specializzato in bios su piattaforma x86/amd64 non ha idea della complessità dello stesso. basti pensare che le eeprom si aggirano intorno ai 4MB e che un kernel linux stà tranquillamente sotto i 2MB con tanto di servizi network stack driver etc...

    solo ACPI è un mattone. l'inizializzazione della CPU (moderna) è un papiro di codice, emulazione USB, inizializzazione PCI / DMA / memory controller , riconoscimento HW (CPU, RAM), infinite tabelle di parametri per i più disparati device e in più funzionalità BIOS continuano a girare mentre il sistema operativo è in funzione, migliaia di funzioni che ignoro... è già un miracolo che tutto funzioniA bocca aperta
    non+autenticato
  • - Scritto da: a b c
    > si con uefi è ancora più facile perché è
    > modulare, basta cambiare l'hook di un modulo non
    > fundamentale al boot della
    > macchina.
    > purtroppo chi non è tecnico specializzato in bios
    > su piattaforma x86/amd64 non ha idea della
    > complessità dello stesso. basti pensare che le
    > eeprom si aggirano intorno ai 4MB e che un kernel
    > linux stà tranquillamente sotto i 2MB con tanto
    > di servizi network stack driver
    > etc...
    >
    > solo ACPI è un mattone. l'inizializzazione della
    > CPU (moderna) è un papiro di codice, emulazione
    > USB, inizializzazione PCI / DMA / memory
    > controller , riconoscimento HW (CPU, RAM),
    > infinite tabelle di parametri per i più disparati
    > device e in più funzionalità BIOS continuano a
    > girare mentre il sistema operativo è in funzione,
    > migliaia di funzioni che ignoro... è già un
    > miracolo che tutto funzioni
    >A bocca aperta


    ma riesce a utilizzare risorse a mutua esclusione contemporaneamente all'OS?
    Esempio, la scheda di rete dubito che possa essere 'montata' da UEFI mentre è montata dall'OS, a meno che il secondo non usi la virtualizzazione del primo (stile virtualbox e simili).


    In altre parole
    non+autenticato
  • - Scritto da: Il Moralizzat ore
    > Ma scusate la mia ignoranza
    > E' così facile riprogrammare un bios?

    Se ti riferisci agli aggiornamenti dei produttori: si

    > Sostituirlo con uno infetto e rendere ugualmente
    > il
    > PC
    > funzionante?

    Questo è un po' più difficileOcchiolino
    non+autenticato
  • Lo sapevo che era un colabrodo l'UEFI, che ci fosse lo zampino della NSA, e che era dannosa oltre che inutile come tecnologia.
    iRoby
    8362
  • - Scritto da: iRoby
    > Lo sapevo che era un colabrodo l'UEFI, che ci
    > fosse lo zampino della NSA, e che era dannosa
    > oltre che inutile come tecnologia.

    Sono completamente d'accordo, ma abbiamo scelta ?
    C'è ancora chi fa piastre madri senza UEFI ? Io resisto a non cambiare il mio 4core che ha BIOS.
    non+autenticato
  • Il mio (comprato 3 mesi fa) ha l'opzione di abilitarlo o meno (UEFI) se è disabilitato è un bios "normale" altrimenti puoi usare UEFI.
    In versione "normale" ovviamente non funzionano le opzioni UEFI ("secure" boot ecc.)
    Ovviamente non lo ho abilitato dato che oltre ai rischi di vulnerabilità non si capisce proprio a cosa dovrebbe servirmi.
    Il problema però è assai diverso per chi usa i "win preinstallati" (in genere win8) che usano UEFI e magari non partono senza.
    non+autenticato
  • - Scritto da: Crakko La Nsa

    > Ovviamente non lo ho abilitato dato che oltre ai
    > rischi di vulnerabilità non si capisce proprio a
    > cosa dovrebbe
    > servirmi.

    gentile utente, obbligheremo presto il suo paese a legiferare in merito.
    Il rischio terrorismo non può essere ignorato e bisogna pur fare dei sacrifici Sorride
    non+autenticato
  • Gentile Agente la invito a ricordare che lei è un utente UEFI.
    Le ricordo inoltre che il BIOS è in una FLASH non è mica tanto difficile scriverci sopra.
    Se vuole informazioni al riguardo si può "acculturare" qui:
    http://www.coreboot.org/Welcome_to_coreboot
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Crakko La Nsa

    > Le ricordo inoltre che il BIOS è in una FLASH non
    > è mica tanto difficile scriverci
    > sopra.


    Anche picchiare un bambino non è difficile, ma è illegale e chi viene beccato finisce in galera Ficoso

    Presto nel suo paese sarà illegale usare un BIOS o qualsivoglia altro strumento atto o adattabile (cit.) a favoreggiare le attività terroristiche.

    Se ha qualcosa in contrario può marciare contro Washington quando le pare, siamo in un paese libero, tant'è che abbiamo modificato i firmware dei droni affinchè si rifiutino di sorvolare la casa bianca Ficoso
    non+autenticato
  • - Scritto da: nsa
    > - Scritto da: Crakko La Nsa
    >
    > > Le ricordo inoltre che il BIOS è in una
    > FLASH
    > non
    > > è mica tanto difficile scriverci
    > > sopra.
    >
    >
    > Anche picchiare un bambino non è difficile, ma è
    > illegale e chi viene beccato finisce in galera
    >Ficoso
    Al momento chi finisce in galera se non usa un computer UEFI è solo lei Agente smith.
    Occhiolino
    >
    > Presto nel suo paese sarà illegale usare un BIOS
    > o qualsivoglia altro strumento atto o
    > adattabile
    (cit.) a favoreggiare le
    > attività terroristiche.

    Al momento (non presto) questo vale già ora per lei agente smith.
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Crakko La Nsa

    > >Ficoso
    > Al momento chi finisce in galera se non usa un
    > computer UEFI è solo lei Agente
    > smith.
    > Occhiolino

    il mio computer è diverso da quello che diamo a voi per ovvie ragioni di sicurezza nazionale Ficoso
    Se non ci crede, può accomodarsi quando vuole invece di bla bla bla Ficoso
    non+autenticato
  • - Scritto da: nsa

    > il mio computer è diverso da quello che diamo a
    > voi per ovvie ragioni di sicurezza nazionale
    >Ficoso
    > Se non ci crede, può accomodarsi quando vuole
    > invece di bla bla bla
    >Ficoso
    Il suo computer è invece UEFI per direttiva specifica come tutti quelli che circolano dalle "sue parti" come da "raccomandazione" (si fa per dire raccomandazione)
    Security Configuration Guides
    Jan 15, 2009 | Last Modified: Jan 16, 2015 | Last Reviewed: Jan 16, 2015
    Auguri Agente smith
    non+autenticato
  • - Scritto da: Crakko La Nsa

    > Il suo computer è invece UEFI per direttiva
    > specifica come tutti quelli che circolano dalle
    > "sue parti"

    c'è UEFI e UEFI, ma questo lei non può saperlo Ficoso

    p.s.
    anche il PC che usava Snowden aveva l'UEFI Ficoso
    non+autenticato
  • - Scritto da: nsa
    >
    > p.s.
    > anche il PC che usava Snowden aveva l'UEFI Ficoso
    Ha detto bene av-"eva" desinenza significativa (tempo passato) quello suo invece....
    Al momento comunque stia pure tranquillo che "il peggio" invece non è ancora passato ci sono ancora un pochino di rivelazioni "a rate" in archivo.

    Rotola dal ridereRotola dal ridere
    non+autenticato
  • mi pare di capire che basta aggiornare il bios (uefi, solo l'uefi è vulnerabile, mentre il bios vecchio è al sicuro) all'ultima versione per patchare la cosa e risolvere, è giusto?
    -----------------------------------------------------------
    Modificato dall' autore il 23 marzo 2015 19.09
    -----------------------------------------------------------
  • Si, ma quello che è preoccupante non è l'esistenza del singolo attacco, ma il crearsi di un'intera famiglia di attacchi in futuro.

    Se prima era necessario un baco del sistema operativo per installare un trojan senza accesso fisico (lo spingere l'untente a cliccare su una pagina è come un accesso fisico), ora il BIOS UEFI può, in fase di boot, attivare la scheda lan, richiedere un ip da DCHP e infettarsi esattamente come succedeva con windows xp senza service pack esposto su internet con ip pubblico.

    Questo succede prima che un eventuale firewall o antivirus, installato sul sistema operativo, possa cercare di prevenire o anche solo notificare l'utente del problema.
    non+autenticato
  • dimenticavo:

    il fatto che oggi ogni scheda madre sia "diversa" fa sì che i virus, salvo contesti molto ristretti, non possano infettare il bios, con uefi il 90% del codice è riciclato tra i produttori hardware, rendendo i bios tutti "uguali" e quindi "ugualmente attaccabili"
    non+autenticato
  • - Scritto da: Jack
    > dimenticavo:
    >
    > il fatto che oggi ogni scheda madre sia "diversa"
    > fa sì che i virus, salvo contesti molto
    > ristretti, non possano infettare il bios, con
    > uefi il 90% del codice è riciclato tra i
    > produttori hardware, rendendo i bios tutti
    > "uguali" e quindi "ugualmente attaccabili"

    Che UEFI fosse una me*da si era capito fin da subito, fin dai primi modelli si era creata la red pill che fregava windows prima che partisse.
    non+autenticato
  • - Scritto da: Jack

    > ora il BIOS
    > UEFI può, in fase di boot, attivare la scheda
    > lan, richiedere un ip da DCHP e infettarsi

    Puoi impostarlo in modo che non lo faccia.
    non+autenticato
  • nel talk fanno un esempio: da una vulerabilità di windows 10 installi il bioskit e poi da una live "sicura" (tails) leggi la posta con GPG, il bioskit estrapola la chiave gpg, la salva in una memoria non volatile e la chiave viene prelevata successivamente tramite ad serial over lan di intel.
    oppure quando rebooti con l'OS vulnerabile prendi la chiave collezionata durante la sessione "sicura"
    non+autenticato
  • - Scritto da: a b c
    > nel talk fanno un esempio: da una vulerabilità di
    > windows 10 installi il bioskit e poi da una live
    > "sicura" (tails) leggi la posta con GPG, il
    > bioskit estrapola la chiave gpg, la salva in una
    > memoria non volatile e la chiave viene prelevata
    > successivamente tramite ad serial over lan di
    > intel.
    > oppure quando rebooti con l'OS vulnerabile prendi
    > la chiave collezionata durante la sessione
    > "sicura"

    Lo scenario è a dir poco spaventoso.
    E meno male che UEFI sarebbe un miglioramento! Deluso
    Izio01
    4151
  • - Scritto da: Izio01

    > E meno male che UEFI sarebbe un miglioramento! Deluso


    per noi e' un grandissimo miglioramento Ficoso
    non+autenticato
  • - Scritto da: nsa

    > per noi e' un grandissimo miglioramento Ficoso
    Anche per noi altrimenti come vi crakkiamo? (e non solo voi)
    A bocca aperta
    O credevate di avere l'esclusiva?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Crakko La Nsa

    > > per noi e' un grandissimo miglioramento Ficoso
    > Anche per noi altrimenti come vi crakkiamo? (e
    > non solo
    > voi)
    > A bocca aperta

    la differenza è che noi vi facciamo credere di craccarci, vi diamo falsi dati e alla fine veniamo pure a prendervi Sorride
    non+autenticato
  • Ti piacerebbe vero ?
    NSA è un "early adopter" della tecnologia UEFI.
    Siete i più vulnerabili di tutti.
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • Dall'universo parallelo da cui vengo io il primo PC della storia è un altro.

    Anche lo stesso PET era precedente.