Koliko ja vidim, nije ovde problem UEFI vec mogucnost programskog SPI flashovanja iz OSa. Nebitno kakav ti firmware trci ako napadac moze da flesuje patchovan firmware onda je game over za tebe. To kako LoJack menja fajlove na fajlsistemu je tehnikalija.

Zatvoriti bilo kakvu mogucnost flashovanja bez hardverske asistencije i potpisanih firmwarea.

Je'l se kao EFI rootkit racuna Sonic Screwdriver ? To je vise-manje in the wild vec par godina....

Ovde kazu da ima rootkita, ali da je ovo prvi put da su uspeli da ubace na neki komp. Da ako OS moze da prepise firmware onda smo uvek u problemu.

Ako OS ne moze da prepise firmware onda nemamo nacina da ga updateujemo.

Ovo sto Ivan kaze jedino ima smisla. OS koji moze da ga prepise, ali uz asistenciju hardvera i kripto-verifikaciju. Drugacije to nije firmware vec uprzeni kod u ROM koji nikad ne moze da se menja.

Zaro to vec nema sada?

Samo procitajte gore o exploitu, ne moze da prodje secure boot, to vam je ta "kripto verifikacija". Uostalom, ako je firmware exploitovan, moze i da se vrati na originalni.

Samo hardver bato, samo hardver.

Znaci, jumper na ploci, pod kljucem - o's flashujes BIOS/UEFI? Moze, al' prvo da stavis jumper u "flash" polozaj" - da bez toga nema fizicke mogucnosti da se patchuje fw, naravno kriptografska provera toga sta se flashuje se podrazumeva. Kome se ne svidja, treba da postoji >HARDVERSKA< opcija da se iskljuci (ok, volim da przim moj UEFI, da mu stavljam custom microcode, DXE drajvere i trista cuda, moze nema frke, ali samo ti to potvrdi jumperom).

Naravno, ovo nece proci :( Zasto?

Zato sto su jos pre N godina menadzeri hteli da im armije racunara odrzavaju remote iz Bangalore-a, i tu nastaje problem - kako flashovati firmware ako nemas nikog da "setuje jumper" u datacentru koji plovi na nekom brodu... tako sad imamo kojekakve kvazi-softverske zastite koje su u stvari go *rac cesto, ali baja iz Hyderabada moze da ti patchuje 100000 racunara.

U principu moguce je donekle zastititi flash proces softverski, kombinacija Boot Guard-a i ME-a koji stiti flash drasticno komplikuju posao h4xorima ali nisu nepobedivi, kao sto se vidi i TSX je puk'o zbog prevelikog brbljanja procesora, ko garantuje da nesto slicno nece cekati i Boot Guard.

Nego bato jumper, prekinuta linija i nema da flashujes makar crk'o, osim ako ne posaljes klinca u kapuljaci :) da ti udje u data centar i rucno flashuje malware.

Zanimljiv deo :)

Gde nas nađoše? Ovde za kutiju cigara i jednu flašu žestine možeš dobiti pristup čemu god 'oćeš

MOram videti da li mi je uključen secure boot. Mada ja flešujem BIOS redovno, tj. kako izlaze nove verzije

Vidi da ti je ukljucen i Boot Guard (cesto je to sakrivena opcija u UEFI setupu, morao bi verovatno da nadjes rucno koji je registar i proveris da li je ukljucen, mada pazi ako je laptop i ako nije ukljucen po defaultu moze da se desi da brickujes sistem ako inzenjeri proizvodjaca nisu testirali takvu konfiguraciju).

Moja ploca (Z10PE D8 WS) ima BG iskljucen po defaultu, nesto slicno kao sto je opisano ovde, a sa starim verzijama UEFI firmwarea je imao rupetinu u BG-u:

https://embedi.com/blog/bypassing-intel-boot-guard/

AMI je fixovao ovu glupost.

Mada pretpostavljam da su Microsoft i Intel pritisli OEM-e u Skylake generaciji da ovo regulisu, za vreme Haswell-a je ovo bio cist Texas.

@bojan_bozovic,

Secure boot nije dovoljan - secure boot omogucava UEFI-ju da autentifikuje operativni sistem (tj. bootloader) i OS-u da autentifikuje masinu i obezbedi lanac poverenja od momenta boot-a ali i dalje nije kompletna kriptografska verifikacija boot lanca.

Da bi imao kompletan lanac proveren, moras da ukljucis i Boot Guard, u kom slucaju ce i same komponente firmware-a biti kriptografski proverene, u tom slucaju imas kriptografsku proveru od momenta paljenja procesora.

Na zalost, nema zastite protiv sampionskog koda, tako da su ranije verzije AMI Aptio UEFI firmware-a imale katastrofalan propust (videti link gore) koji je pustao izvrsavanje cak i kada BG prijavi gresku u validaciji firmware-a (!!!!) umesto da urade momentalan shutdown sistema. Da. Ludilo.

U principu ako je Boot Guard korektno implementiran, Secure Boot ukljucen i sistemski firmware sprecava flash-ovanje firmware-a iz OS-a, postaje jako tesko za napadace da se ugnezde u firmware.

Ali ni to nije 100% zastita, ko zna mozda neko negde provali bug... zato kazem, stari dobri jumperi za flashovanje BIOS-a (danas Firmware-a)...

Bar za to napadaci moraju fizicki da dodju do maticne ploce, u kom slucaju vec mogu i da uzmu diskove ili ubodu preprogramirani BIOS cip :-)))