Informatycy ostrzegają - zabezpieczenie Secure Boot jest do sforsowania

Trzej informatycy (Andrew Furtak, Oleksandr Bazhaniuk i Yuriy Bulygin) poinformowali w zeszłym tygodniu na konferencji Black Hat USA (poświęconej bezpieczeństwu), że pecety Windows 8 produkowane przez niektórych dostawców komputerów zawierają źle pracujący mechanizm Secure Boot, dlatego nie są bezpieczne. Dzieje się tak dlatego, ponieważ producenci implementują w nich w nieprawidłowy sposób UEFI (Unified Extensible Firmware Interface; nowy system rozruchowy będący następcą BIOS’u).

Secure Boot to jeden z mechanizmów UEFI, dzięki któremu podczas rozruchu komputera (operacja boot) uruchamiane są tylko zaufane programy, opatrzone cyfrowym podpisem. Mechanizm ten został zaprojektowany z myślą o tym, aby do komputera podczas operacji rozruchu nie przedostało się złośliwe oprogramowanie, takie jak bootkit.

Informatycy pokazali kilka eksploitów i udowodnili, że na niektórych komputerach PC (pracujących pod kontrolą systemu Windows 8), bootkit można jednak zainstalować. I jest to możliwe nie dlatego, że w mechanizmie Secure Boot znajdują się luki, ale dlatego, że producenci pecetów źle implementują oprogramowanie UEFI.

Pierwszy eksploit wykorzystywał fakt, że niektórzy producenci nie zabezpieczają w prawidłowy sposób oprogramowania firmware. Włamywacz może wtedy modyfikować kod, który wymusza stosowanie mechanizmu Secure Boot. Eksploit modyfikuje „root key” (klucz używany do sprawdzania cyfrowego podpisu). Może to jednak zrobić tylko wtedy, gdy zostanie uruchomiony w trybie „kernel”, używanym wyłącznie do dokonywania w systemie operacyjnym najistotniejszych zmian. Ogranicza to w dużym stopniu poczynania włamywacza, gdyż musi on wcześniej znaleźć sposób, jak uzyskać prawo uruchamiania programów w trybie „kernel”.

Informatycy pokazali jak taki eksploit włamuje się do laptopa Asus VivoBook Q200E, twierdząc jednocześnie, że płyty główne instalowane w szeregu desktopach firmy Asus są również podatne na takie ataki. Według nich Asus zmodyfikował już system BIOS zainstalowany na niektórych płytach głównych, ale nie na tych, które znajdują się w laptopach VivoBook. Jak dotąd Asus nie ustosunkował się do tych informacji.

Drugi zademonstrowany przez informatyków eksploit może pracować w trybie ”user”. Oznacza to, że włamywacz może uzyskać zwykłe prawo do uruchamiania programów na zaatakowanym komputerze, nie starając się sforsować zapory, jaką jest tryb ”kernel”. Informatycy nie ujawnili niestety więcej szczegółów technicznych dotyczących tego eksploita ani tego, jakie komputery są podatne na takie ataki.

Informatycy podali też, że istnieje jeszcze kilka innych sposobów sforsowania zabezpieczenia Secure Boot i zapewnili, iż poinformowali już o tym fakcie zarówno Microsoft, jak i UEFI Forum, dostarczając im szczegółowe dane techniczne. Microsoft wydał nawet na ten temat lakoniczny komunikat, w którym można przeczytać, „nasz firma współpracuje z partnerami starając się zapewnić użytkownikom całkowe bezpieczeństwo podczas wykonywania operacji rozruchu komputera”.


Zobacz również