Uma dupla de pesquisadores Argentinos na conferência CanSecWest, demonstrou métodos de contaminar o BIOS com um código que irá sobreviver a tentativas de resets, e de regravação do programa no BIOS. Um pequeno pedaço de código que lhes deu completo controle sobre a máquina. O método funcionou em uma máquina com o Windows, um PC executando OpenBSD e outro executando VMware Player.
"Foi muito fácil disseram. Podemos colocar o código sempre que queremos", disse Ortega. "Não estamos usando uma vulnerabilidade de sistema. Não tenho certeza se você percebeu o impacto. Podemos reinfectar o BIOS cada vez que seja restaurada."
Sacco e Ortega salientou que, para executar os ataques, você precisa de privilégios ou raiz ou o acesso físico à máquina em questão, o que limita o âmbito da aplicação. Mas os métodos são eficazes mortal, e estão atualmente trabalhando em um rootkit BIOS para executar o ataque.
"Podemos usar um patch a um driver para executar o trabalho total (rootkit). Nós sequer precisamos de um código para remover ou desativar antivírus", disse Ortega.
O trabalho do núcleo segue sobre a investigação realizada sobre os rootkits por John Heasman de NGSS, que foi capaz de conceber um método de colocação de rootkits em PCs usando o espaço de memória em placas PCI. Em uma apresentação na Black Hat DC em 2007, mostrou Heasman um método para carregar o malware em uma placa PCI usando o flashable ROM no dispositivo. Ele também tinha uma maneira de contornar o kernel do Windows NT .
Enquanto as aplicações e mecanismos de protecção do sistema operacional continuam a tornar-se mais sofisticado e mais difícil aos ataques, esperamos ver mais e mais ataques visando a hardware e software de baixo nível, onde ainda existem vulnerabilidades para sucesso.
http://threatpost.com/blogs/researchers-unveil-persistent-bios-attack-methods
Nenhum comentário:
Postar um comentário