Obstruct Omicronium
-
Автор темы
- #1
Привет! Давай поговорим об атаках на Secure Boot (SB) в нашей сфере - читодурашек?
Я сам относительно недавно (чуть более полугода) заинтересовался разработкой UEFI-дров и эксплуатацией уязвимостей в UEFI. С этим трудностей особых нет, достаточно почитать чутка о EDKII, немножечко погрузиться в спеку UEFI и считайте, что вы уже смешарик, так как для разработки всяких ефишных мапперов, рантаймовых дров и прочего говна особого ума не нужно. Но не суть, я не об этом.
Одна из интереснейших задач, одновременно подрывающая мою и, возможно, вашу задницу - обход SB. Если с десяткой всё понятно, ибо еще нет замечательного лока от микромягких, то дела с одиннадцатой виндой уже обстоят хуже, так как наличие включённого SB является обязательным пунктом. И мы приходим к двум пунктам, которые могут решить данную проблему:
1. Подпись драйверов у микромягких - валидное решение, если вы располагаете деньгами, но само прохождение этого говна настолько
2. Эксплуатация уязвимостей, связанных с SB - это уже интереснее, и тут даже есть где разгуляться, но не всё так просто, как всегда.
Самые забавные вещи, которые я встречал на своём пути: добивание NVRAM путём добавления адового количества NVRAM переменных - это работает не везде, но атака имеет место быть; Патч Setup переменной по правильному смещению для отруба SB и отправления его поспать - далеко не все загрузчики этому подвержены, так как Setup не всегда имеет нужные атрибуты доступа, но, тот же AMI Aptio, например, вполне себе патчится, да ещё как.
Единственный минус таких атак - сработают они не везде, так как это вендорозависимые приколы.
Можно смотреть чутка "выше" - атаковать бутменеджер, бутлоадер, механизм апдейта микрокода процессора. Это тоже валидные тейки, но, если предыдущие приколы были только вендорозависимы, то эти ещё и зависят от "версирования", т.е. от билдов, секурити патчей и прочего. Однако, такие вулны закрываются весьма медленно, ибо микромягкие слишком ленивые и видимо у них не особо много тех, кто работает с бутовой частью винды. В пример можно взять прекрасный
Что думаете? Вектор ефишных преколов ещё валиден и не стоит волноваться или стоит задуматься о других вещах? Например, о том же WPBT, кекв, там правда DSE, что уже меньшая проблема по сути.
Я сам относительно недавно (чуть более полугода) заинтересовался разработкой UEFI-дров и эксплуатацией уязвимостей в UEFI. С этим трудностей особых нет, достаточно почитать чутка о EDKII, немножечко погрузиться в спеку UEFI и считайте, что вы уже смешарик, так как для разработки всяких ефишных мапперов, рантаймовых дров и прочего говна особого ума не нужно. Но не суть, я не об этом.
Одна из интереснейших задач, одновременно подрывающая мою и, возможно, вашу задницу - обход SB. Если с десяткой всё понятно, ибо еще нет замечательного лока от микромягких, то дела с одиннадцатой виндой уже обстоят хуже, так как наличие включённого SB является обязательным пунктом. И мы приходим к двум пунктам, которые могут решить данную проблему:
1. Подпись драйверов у микромягких - валидное решение, если вы располагаете деньгами, но само прохождение этого говна настолько
Пожалуйста, авторизуйтесь для просмотра ссылки.
, что можно только поплакать.2. Эксплуатация уязвимостей, связанных с SB - это уже интереснее, и тут даже есть где разгуляться, но не всё так просто, как всегда.
Самые забавные вещи, которые я встречал на своём пути: добивание NVRAM путём добавления адового количества NVRAM переменных - это работает не везде, но атака имеет место быть; Патч Setup переменной по правильному смещению для отруба SB и отправления его поспать - далеко не все загрузчики этому подвержены, так как Setup не всегда имеет нужные атрибуты доступа, но, тот же AMI Aptio, например, вполне себе патчится, да ещё как.
Единственный минус таких атак - сработают они не везде, так как это вендорозависимые приколы.
Можно смотреть чутка "выше" - атаковать бутменеджер, бутлоадер, механизм апдейта микрокода процессора. Это тоже валидные тейки, но, если предыдущие приколы были только вендорозависимы, то эти ещё и зависят от "версирования", т.е. от билдов, секурити патчей и прочего. Однако, такие вулны закрываются весьма медленно, ибо микромягкие слишком ленивые и видимо у них не особо много тех, кто работает с бутовой частью винды. В пример можно взять прекрасный
Пожалуйста, авторизуйтесь для просмотра ссылки.
, который закрывался чуть ли не полгода. Таких вулн не особо много, но практически просто реверсим и балуемся патч-диффингом, ищем преколы.Что думаете? Вектор ефишных преколов ещё валиден и не стоит волноваться или стоит задуматься о других вещах? Например, о том же WPBT, кекв, там правда DSE, что уже меньшая проблема по сути.