Khai thác lỗ hổng UEFI để cài ransomware

Thứ 6 tuần trước, tại hội thảo Black Hat Châu Á, nhóm nghiên cứu tiết lộ cách họ thực hiện: khai thác các lỗ hổng trong firmware của 2 mẫu máy tính mini của nhà sản xuất Đài Loan Gigabyte Technology.

Một nhóm các nhà nghiên cứu đã khai thác hai lỗ hổng trong firmware máy tính mini Gigabyte BRIX, chứng minh có thể cài ransomware vào thiết bị.

Hai lỗ hổng ảnh hưởng tới mẫu máy GB-BSi7H-6500 và GB-BXi7-5775. Các lỗi này cho phép hacker truy cập vào hệ điều hành để leo thang đặc quyền và thực thi mã độc trong chế độ quản lý hệ thống SMM, một chế độ vận hành đặc biệt của CPU cho phép thực thi phần mềm.

 

Gigabyte ransomware
Gigabyte ransomware

 

Vài năm qua, thế giới đã chứng kiến sự “tiến hoá” của ransomware, từ được chèn vào trong trình duyệt đến hệ điều hành, đến bộ nạp khởi động và giờ đây là firmware.
Đầu năm nay, một nhóm các nhà nghiên cứu của Cylance đã chỉ ra ransomware có thể chạy trong bảng mạch chính của giao diện Firmware mở rộng hợp nhất (UEFI).

UEFI Ransomware
UEFI Ransomware

Các lỗ hổng UEFI rất có giá trị với hacker bởi chúng có thể bị lợi dụng để cài những mã độc có khả năng lây nhiễm trở lại ngay cả sau khi hệ điều hành đã được cài đặt lại.

Việc gỡ bỏ mã độc được cài đặt trong firmware của máy tính khá phức tạp bởi nó đòi hỏi một UEFI sạch.

Hãng Gigabyte dự định phát hành bản cập nhật firmware GB-BSi7H-6500 trong tháng này để giải quyết lỗ hổng, nhưng không vá lỗi của GB-BXi7-5775 bởi mẫu này đã được khai tử.

Intel Security đã cung cấp một công cụ hỗ trợ quản trị máy tính kiểm tra mã độc trong firmware của mình.

Leave a Reply

Your email address will not be published. Required fields are marked *