研究人员发现针对Win8的新型内核级漏洞

2012-09-26 88018人围观 ,发现 4 个不明物体 资讯

译:g.r0b1n
Site:http://www.freebuf.com    

安全研究人员发现了Win8的安全缺陷,该缺陷来自于微软的统一可扩展固件接口。这将意味着Win8可能受到内核级别的恶意软件的感染。

意大利的ITSEC的安全研究员通过对统一可扩展固件接口(Unified Extensible Firmware Interface)分析后发现了这个安全漏洞。关于UEFI,请参见这里

ITSEC分析了UEFI平台,该平台已经被微软移植了BIOS和MBR的引导程序到Windows 8中。IESEC的高级安全研究员安德烈说,这个研究可能首个Windows 8同样受内核级后门攻击的证明。这个概念验证代码证明恶意软件是能够战胜Windows 8的内核补丁保护和驱动程序签名策略的。

UEFI引导程序由Allieve开发,它重写了Windows 8 UEFI引导程序的合法检查,从而绕过了安全防护进程。

“我们的引导程序挂钩了微软UEFI的磁盘I/O例程,它截获Windows 8的内核加载,所以我们的bootkit将
通过禁用Windows所使用的未签名驱动禁止加载安全功能”,ITSEC的马可·朱利亚尼解释。

这个bootkit是由ITSEC开发的,能够媲美于MBR Rootkit。Windows 8的bootkit最早在去年11月就已经出现,
但这些早期的概念验证代码并不能规避UEFI。

此前的引导加载程序和Rootkit不得不使用汇编语言进行开发。但是UEFI的建立意味着开发系统引导程序通过C语言可以更加容易、且合法。

朱利亚尼说,“我们的研究试图证明新的UEFI平台仍然是不安全的,仍然是易受攻击的,默认SecureBoot
是关闭的。” “对于病毒作者来说通过UEFI框架编写一个bootkit是一个更加容易的任务”

“UEFI平台将很快成为恶意软件编写者和安全行业之间的战争的新领域,除非SecureBoot使用,以确保只有经过数字签名的UEFI引导加载程序可以在系统启动时执行。”

ITSEC的详细技术分析,在Windows 8的UEFI实现,其潜在的安全缺陷,可以在这里找到。

ITSEC的研究如下的UEFI bootkit将创建一个能够感染Mac的OS X操作系统,这已经在今年的拉斯维加斯的Blackhat大会上进行了演示

via theregister

PS: 文中术语太多,有几处翻译的不是很通,诸位宽容下!

Windows-8-desktopsky-33966

Loading...
css.php