Τους τελευταίους επτά μήνες -και πιθανότατα για μεγαλύτερο χρονικό διάστημα- ένα βιομηχανικό πρότυπο που προστατεύει τις συσκευές Windows από μολύνσεις firmware μπορούσε να παρακαμφθεί με μια απλή τεχνική. Την Τρίτη, η Microsoft επιδιόρθωσε τελικά την ευπάθεια. Η κατάσταση των συστημάτων Linux είναι ακόμη ασαφής.
Με την ονομασία CVE-2024-7344, η ευπάθεια επέτρεπε σε επιτιθέμενους που είχαν ήδη αποκτήσει προνομιακή πρόσβαση σε μια συσκευή να εκτελούν κακόβουλο υλικολογισμικό κατά την εκκίνηση. Αυτού του είδους οι επιθέσεις μπορεί να είναι ιδιαίτερα επιζήμιες επειδή οι μολύνσεις κρύβονται μέσα στο υλικολογισμικό που εκτελείται σε πρώιμο στάδιο, πριν καν φορτωθούν τα Windows ή το Linux. Αυτή η στρατηγική θέση επιτρέπει στο κακόβουλο λογισμικό να παρακάμπτει τις άμυνες που εγκαθιστά το λειτουργικό σύστημα και του δίνει τη δυνατότητα να επιβιώνει ακόμη και μετά την επαναδιαμόρφωση των σκληρών δίσκων. Από εκεί και πέρα, το προκύπτον «bootkit» ελέγχει την εκκίνηση του λειτουργικού συστήματος.
Το Secure Boot, που υπάρχει από το 2012, έχει σχεδιαστεί για να αποτρέπει αυτού του είδους τις επιθέσεις δημιουργώντας μια αλυσίδα εμπιστοσύνης που συνδέει κάθε αρχείο που φορτώνεται. Κάθε φορά που εκκινείται μια συσκευή, το Secure Boot επαληθεύει ότι κάθε στοιχείο του υλικολογισμικού είναι ψηφιακά υπογεγραμμένο πριν του επιτραπεί να εκτελεστεί. Στη συνέχεια, ελέγχει την ψηφιακή υπογραφή του bootloader του λειτουργικού συστήματος για να διασφαλίσει ότι είναι αξιόπιστο από την πολιτική Secure Boot και ότι δεν έχει αλλοιωθεί. Η ασφαλής εκκίνηση είναι ενσωματωμένη στο UEFI-σύντομο για το Unified Extensible Firmware Interface-τον διάδοχο του BIOS που είναι υπεύθυνος για την εκκίνηση των σύγχρονων συσκευών Windows και Linux.
Η πλήρης λίστα με τις μολυσμένες εφαρμογές recovery είναι η :
- Howyar SysReturn before version 10.2.023_20240919
- Greenware GreenGuard before version 10.2.023-20240927
- Radix SmartRecovery before version 11.2.023-20240927
- Sanfong EZ-back System before version 10.3.024-20241127
- WASAY eRecoveryRX before version 8.4.022-20241127
- CES NeoImpact before version 10.1.024-20241127
- SignalComputer HDD King before version 10.3.021-20241127
Η απειλή δεν περιοριζόταν σε συσκευές που είχαν εγκατεστημένο ένα από τα ευάλωτα πακέτα αποκατάστασης συστήματος. Οι επιτιθέμενοι που είχαν ήδη αποκτήσει διαχειριστικό έλεγχο σε μια συσκευή Windows μπορούσαν απλώς να εγκαταστήσουν το reloader.efi και, λόγω της ψηφιακής υπογραφής στο λειτουργικό σύστημα, να το χρησιμοποιήσουν για να εγκαταστήσουν κακόβουλο υλικολογισμικό κατά την εκκίνηση. Την Τρίτη, η Microsoft εξουδετέρωσε τελικά την απειλή ενημερώνοντας τα Windows για την αφαίρεση της υπογραφής.
Πηγή : Arstechnica
Εμφάνιση 1-3 από 3
-
16-01-25, 19:58 Η Microsoft ενημερώνει τα Windows για να εξαλείψει την απειλή παράκαμψης του Secure Boot #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.476
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
17-01-25, 10:44 Απάντηση: Η Microsoft ενημερώνει τα Windows για να εξαλείψει την απειλή παράκαμψης του Secure Boot #2
Όλα ωραία και καλά αλλά τι γίνεται με το intel me spyware που είναι προ εγκατεστημένο στο firmware των επεξεργαστών της intel;
- - - Updated - - -
https://www.eff.org/deeplinks/2017/0...way-disable-it
Τελευταία επεξεργασία από το μέλος xaris2335 : 17-01-25 στις 10:51.
ἀναφαίρετον ὅπλον ἡ ἀρετή
-
19-01-25, 03:26 Απάντηση: Η Microsoft ενημερώνει τα Windows για να εξαλείψει την απειλή παράκαμψης του Secure Boot #3
καλύτερα αργά πάρα πότε δεν λέει παροιμία;
Bookmarks