Il malware può flashare il BIOS?

TH: Un programma maligno potrebbe aggiornare (flashare) il BIOS?

Joanna: No! C'è stata molta confusione negli ultimi mesi. Alcuni credono che gli attacchi SMM siano automaticamente in grado di aggiornare il BIOS, ma non è vero. C'è stata una presentazione, non molto fortunata in veritÃ , all'ultimo CanSecWest, fatta da due ricercatori di Core, su "Infezioni resistenti del BIOS". Ho visto le loro diapositive, e facevano sembrare che avessero trovato un modo di aggiornare il BIOS, e che non ci fossero protezioni possibili contro questo attacco. Nulla di più lontano dalla veritÃ .

Per cominciare hanno scelto di colpire BIOS di fascia bassa: un Award BIOS e anche un BIOS VMWare (che di per sé non conta molto, visto che non è un vero BIOS). Questi due BIOS non richiedevano che gli aggiornamenti includessero la firma digitale del produttore, quindi non era particolarmente difficile aggiungerci del codice nona autorizzato. La maggior parte dei BIOS moderni, invece, accetta solo firmware certificati come aggiornamenti, ed è una cosa che succede da anni, che non ha nulla a che fare con la TPM o altre tecnologie Trusted Computing.

Questa situazione non è molto buona per noi, perché al prossimo Black Hat Rafal e Alex presenteranno dei veri attacchi che aggiornano il BIOS, che includono l'aggiramento della protezione dei BIOS Intel. È una cosa molto complicata, e il vero exploit è davvero un capolavoro. Dubito, però, che il malware potrebbe cominciare a sfruttare attacchi simili, che sono semplicemente troppo complessi, e devono essere adattati ad ogni BIOS. Dal punto di vista della ricerca, però, si tratta di un passo avanti molto importante, con un potenziale impatto enorme, che potrebbe diventare praticamente permanente, su una macchina infetta.

TH: Non vediamo l'ora. Parlaci degli attacchi Ring -3.

Joanna: È una cosa del tutto nuova, e molto complicata. Potrebbe dare ancora più potenzialitÃ ai rootkit SMM. Com'è possibile ottenere privilegi ancora maggiori rispetto a quelli della SMM? Purtroppo non posso dirvi molto ora, se non che siamo in contatto con Intel riguardo la vulnerabilitÃ che abbiamo trovato, e che loro sono giÃ al lavoro su una patch che dovrebbe essere disponibile a breve.

TH: Cosa puoi dirci dell'HyperCore?

Joanna: HyperCore è un hypervisor leggero per i portatili sviluppato da Phoenix Technologies. Siamo stati assunti da Phoenix per fare ricerche su diverse tecnologie che potrebbero, potenzialmente, servire a rendere più sicuro questo prodotto. Non posso parlare liberamente di questa ricerca, come d'abitudine in questo settore.

TH: Gran parte delle tue ricerche, fino ad ora, consistono nell'avvicinarsi sempre di più alla CPU. Cosa ci dici dell'approccio contrario, cioè avvicinarsi all'utente. Se fosse possibile, per esempio, impossessarsi della memoria della GPU, sarebbe possibile visualizzare una falsa richiesta di password e spingere l'utente ad inserire dati sensibili. Oppure si potrebbe entrare nel controller USB, e usare per registrare ciò che viene digitato sulla tastiera. Cosa ne pensi?

Joanna: Credete che avvicinarsi alla CPU significhi allontanarsi dall'utente? Davvero? La CPU è il centro del sistema, ogni utente la usa, ogni programma, tutti i dati passano da lì. È l'elemento del sistema più vicino all'utente che si possa immaginare. È nella CPU che i dati vengono decodificati, se protetti da crittografia, e sono eseguite tutte le azioni.

TH: Non è insolito pensare che la GPU sia "più vicina all'utente", se si pensa alla grafica 3D, al GPGPU, e ai tanti utenti che hanno l'hobby del fotoritocco. È un po' come dire "occhio non vede cuore non duole".

Joanna: Consideriamo la possibilitÃ di sfruttare la memoria della GPU: non sarebbe una soluzione molto pratica per chi scrive malware, perché le password sono visualizzate come asterischi, ed è questo che vede la GPU!