Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Malware przeżywający reinstalacje OS. Supermicro ostrzega przed nową funkcją malware TrickBot i wypuszcza łaty na BIOS
Masz serwer czy PC-ta, na który dostał się nieproszony gość. No więc w ostateczności robisz pełen reinstall przywracasz pliki i cieszysz się z nowego systemu :-) Czasem jednak to nie wystarczy.
Supermicro pisze o nowej funkcji TrickBoot, w Trickbocie:
TrickBoot is a new functionality within the TrickBot malware toolset capable of discovering vulnerabilities and enabling attackers to read/write/erase the device’s BIOS. One can install a backdoor or „brick” the vulnerable machine. Malicious code planted on the BIOS can survive OS reinstalls.
Czyli TrickBot sprawdza czy ma zapis do BIOSu, jeśli tak to wrzuca tam swój kod i dzięki temu uzyskuje przeżywalność po reinstalacji OS.
Co ciekawe łatki na ten temat wypuszczają również producenci applianców – np. Pulse Secure:
This vulnerability can be exploited only as part of an attack chain. Before an attacker can compromise the BIOS, they must exploit the device.
Czyli serwer serwerem, ale np. po skutecznym ataku na urządzenie zestawiające tunele VPN, można się dostać na nie dalej. Wtedy i „reinstalacja całego VPNa” nie pomoże…
–ms
A takie cudowne miało być to UEFI… tak podnoszące bezpieczeństwo…
Flashowanie BIOS nie powinno być możliwe z poziomu OS, a tak to byle Windows potrafi na lapku uszkodzić BIOS jak ma się pecha.
Swego czasu były też przypadki, że instalacja Linuxa uszkadzała firmware jakiegoś producenta lapków, chyba Lenovo o ile pamiętam.