Malware przeżywający reinstalacje OS. Supermicro ostrzega przed nową funkcją malware TrickBot i wypuszcza łaty na BIOS

Masz serwer czy PC-ta, na który dostał się nieproszony gość. No więc w ostateczności robisz pełen reinstall przywracasz pliki i cieszysz się z nowego systemu :-) Czasem jednak to nie wystarczy.

Supermicro pisze o nowej funkcji TrickBoot, w Trickbocie:

TrickBoot is a new functionality within the TrickBot malware toolset capable of discovering vulnerabilities and enabling attackers to read/write/erase the device’s BIOS. One can install a backdoor or „brick” the vulnerable machine. Malicious code planted on the BIOS can survive OS reinstalls.

Czyli TrickBot sprawdza czy ma zapis do BIOSu, jeśli tak to wrzuca tam swój kod i dzięki temu uzyskuje przeżywalność po reinstalacji OS.

Co ciekawe łatki na ten temat wypuszczają również producenci applianców – np. Pulse Secure:

This vulnerability can be exploited only as part of an attack chain. Before an attacker can compromise the BIOS, they must exploit the device.

Czyli serwer serwerem, ale np. po skutecznym ataku na urządzenie zestawiające tunele VPN, można się dostać na nie dalej. Wtedy i „reinstalacja całego VPNa” nie pomoże…

–ms