一、小白剧场
大东:小白,我记得你用的是某进口笔记本品牌电脑,对不?
小白:大东,是的呀!
大东:你最近使用电脑的时候有没有察觉到什么异常情况呢?
小白:没有呀?是发生了什么事吗,大东?
大东:安全研究人员发现3000万台某进口笔记本品牌电脑受新远程漏洞影响面临风险!
小白:啊?!什么漏洞?
大东:Eclypsium公司的安全研究人员在XxxxSupportAssist的BIOSConnect功能中发现了四个主要安全漏洞。
小白:大东,我不太了解,你可以给我详细讲一下吗?
大东:攻击者可以利用这四个安全漏洞在受影响设备的BIOS中远程执行代码。
小白:BIOS是什么?
大东:BIOS是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。
小白:BIOS对计算机很重要吧!
大东:是的,当今,BIOS已成为一些病毒木马的目标,一旦此系统被破坏,其后果不堪设想。
二、话说事件
小白:那这个BIOS漏洞是通过什么进行攻击的呢?
大东:你知道SupportAssist软件吗?
小白:知道呀!根据某进口笔记本品牌的网站,在大多数Windows操作系统的某进口笔记本品牌设备上都预装了SupportAssist软件。
大东:那你知道BIOSConnect吗?
小白:大东,这个我还不太了解,快告诉我吧!
大东:BIOSConnect提供了一个基础平台,可以为某进口笔记本品牌电脑提供远程固件更新和操作系统恢复功能。
小白:攻击者就是从BIOSConnect功能中发现漏洞的吗?
大东:是的!这一系列漏洞CVSS得分都相当高!
小白:攻击者如何能利用这个漏洞控制我们的电脑呢?
大东:拥有特权的远程攻击者能够破坏操作系统的安全控制,通过该品牌官网控制目标设备的启动过程。
小白:那我们使用者在使用时会察觉到自己的电脑被攻击吗?
大东:用户在开机过程中,要多注意启动过程呀。攻击者获得的可不是一般权限,这种权限可以破坏操作系统和更高层的安全控制。
小白:这个问题只影响笔记本电脑的使用吗?
大东:当然不是!该问题影响了129种不同型号的某进口笔记本品牌笔记本电脑、平板电脑和台式机,以及至少3000万台个人设备。
小白:啊?这影响范围也太大了吧!
大东:确实!3000万台个人设备!这是个庞大的群体!
小白:大东,针对BIOSConnect攻击的问题,某进口笔记本品牌有没有采取相关的应对措施呢?
大东:某进口笔记本品牌公司为受到影响的系统提供BIOS/UEFI更新,并在该品牌官网上提供受影响的可执行文件的更新。
BIOS(图片来自网络)
小白:那我们作为用户有什么应对漏洞攻击的办法或者建议吗?
大东:用户应该尽可能早的为系统更新BIOS/UEFI,除此之外专业人员还建议使用SupportAssist的BIOSConnect功能以外的方法进行某进口笔记本品牌设备的BIOS更新。
小白:那如果用户无法立即更新系统,该怎么办呢?
大东:无法立即更新系统的用户可以从BIOS设置页面或使用XxxxCommand禁用BIOSConnect配置(DCC)的远程系统管理工具。
小白:这是在是太可怕了!那我们不懂这些专业知识的某进口笔记本品牌用户遇到这类安全漏洞就会很麻烦呀!
大东:是的!而且这已经不是某进口笔记本品牌计算机的所有者第一次受到SupportAssist软件中发现的安全漏洞的攻击!
小白:什么?之前也受到过SupportAssist软件攻击?大东,给我讲讲吧。
大东:2019年5月,某进口笔记本品牌公司修补了由于不当来源验证漏洞引起的SupportAssist远程代码执行漏洞。
小白:这漏洞问题出现得也太频繁了!
大东:不仅如此,2015年某进口笔记本品牌系统检测出了允许攻击者触发有漏洞的程序下载和执行任意文件而无需用户交互的RCE漏洞。
小白:我的天,RCE漏洞这是跟某进口笔记本品牌杠上了吗?某进口笔记本品牌软件受到这么严重的缺陷困扰,没有引起相关组织部门的重视吗?
BIOSConnect攻击场景(图片来自网络)
三、大话始末
大东:当然!卡内基·梅隆大学的计算机应急响应团队(CERT)也发现了一个存在于大部分BIOS固件中的漏洞,黑客可以利用该漏洞重新刷新主板BIOS。
小白:那既然是BIOS固件的漏洞,计算机设备生产商为什么不对其进行优化呢?
大东:苹果和某进口笔记本品牌的设备已经被证实存在该漏洞,两家厂商表示已开始修复这个漏洞。
小白:厂商确实应该承担起修复漏洞的责任!
大东:目前,在X86的计算机设备中,为防止BIOS遭受黑客攻击,会为其部署一系列的安全措施,比如“写入保护”。芯片的寄存器中包含了写入保护的开关选项,默认状态下是处于关闭状态的。
小白:那当我们开启系统的时候,就要通过BIOS来激活写入保护,对吧!大东,“写入保护”对于防御漏洞攻击有效果吗?
大东:当然啦!CERT团队发现,写入保护在计算机睡眠模式中存在漏洞,日常启动过程中寄存器会自动启动写入保护,但是当进入睡眠模式并重新唤醒设备之后,BIOS中并没有相应的机制重新唤醒写入保护。
小白:那这就意味着接下来的操作都将会在禁用写入保护状态下进行,那黑客岂不是能在写入保护被禁用时乘虚而入了?
大东:没错,黑客可以利用该漏洞重新刷新主板BIOS,从而达到攻击个人计算机的目的。
小白:某进口笔记本品牌的SupportAssist有用吗,是否有必要运行它?
大东:对某进口笔记本品牌而言,SupportAssist是非常重要的,需要用这个更新驱动,不然随便更新会出现很多问题。
小白:大东,如果没有SupportAssist软件,我的计算机是不是就不会存在BIOS漏洞了?
大东:并非如此,BIOS漏洞可能存在于我们每个人的计算机中!
SupportAssist场景(图片来自网络)
四、小白内心说
小白:大东,我们平时怎样才能知道自己的计算机存在BIOS漏洞呢?
大东:我们可以使用符号执行和虚拟平台查找计算机上的BIOS漏洞。
小白:大东,一说到代码就联想到了程序员,但是程序员的工作因为夹杂了很多人为因素,往往存在很多漏洞。
大东:小白,你说得没错!在当今网络强国的大背景下,防御方应该尽可能的定位和修补所有的系统漏洞。
小白:哪一个环节掉了链子都不行!
大东:是的!在实际应用场景之中,可以借助系统源代码来作出判断。另外,借助静态分析、符号执行等方式有效地开展fuzzing测试也是一个好办法。
小白:这么做的目的是什么呢?
大东:最终将漏洞问题溯源到源代码的具体位置并对其进行修复。
小白:大东,可以举个例子讲讲吗?
大东:Intel的Excite项目就是通过使用一种结合符号执行、fuzzing和concrete测试的方法在敏感代码中寻找漏洞。
小白:大东,那这个项目所使用的漏洞寻找方式最终效果如何呢?
大东:将符号和具体化技术进行有效搭配后,其执行效率高于单用其中任何一种技术,目前这种结合方式已经成为自动化挖掘BIOS漏洞的有效方式。
小白:大东,除此之外,还有其他方法吗?
大东:当然有啦!在虚拟平台上调试一个BUG通常比在物理平台上要容易得多!
小白:这是什么原理呀?大东,快给我科普一下!
大东:这是因为虚拟平台自身剔除了物理设备的诸多限制,如内存锁保护等机制,从而让我们能够以更深更广的视角研究系统!
小白:那这样来看,在没有调试环境的情况下,我们仍然能够很好地观察恶意代码的执行过程喽!
大东:小白,你总结得很到位!重放执行技术确实使我们能够不断观察可控的执行过程!
小白:那我们想要提前预防BIOS漏洞或者RCE漏洞引起的攻击,该怎么办呢?
大东:可以使用黑盒测试或者白盒测试对漏洞进行检测,在进入危险函数前进行严格的检测和过滤,尽量不使用命令执行函数,以免造成代码或者系统命令执行漏洞。
小白:如果我们已经察觉或者检测到自己的电脑正在遭受BIOS漏洞或者RCE漏洞攻击,我们应该采取什么补救措施呢?
大东:常用的漏洞修复补救方案,包括升级网站程序插件或框架或服务到最新版;若是必须运用危险变量函数,那么针对危险变量需要做好指定功能使用。