Se podria infectar una BIOS?

Iniciado por lapsus, 26 Diciembre 2010, 01:08 AM

0 Miembros y 2 Visitantes están viendo este tema.

lapsus

Aviso: paja mental de pregunta...
El topic es la pregunta, no quiero saber el como, pq no lo comprendería, pero me gustaria q algun gurú me dijera si es posible, al menos teóricamente, infectar una bios con código malicioso, q afecte a un determinado SO; de modo q al reinstalarlo limpio este se vuelva  a infectar incluso aislandolo del exterior durante su reinstalacion.
¿Es decir, se puede almacenar (esto creo q si) código en la bios y despues q este código se dispare desde la bios al SO (marcando por ejemplo alguna parte del hardware como no actualizado, y desde ahí, por programacion de drivers...)?
¿Estoy viendo demasiadas pelis de hackers ultimamente, quizá? xD

madpitbull_99

#1
Se puede hacer, no es fácil, pero se puede. De hecho hay malware que se guardan en la bios, simplemente "hay que poner el código donde quieras".

Mira este articulo:

CitarRecent research suggests that rootkit malware can be designed to infect the flash memory of the BIOS and "live" in the BIOS, thereby surviving the "clean install" so many of us recommend as the "ultimate" and often the best solution for infestations. A clean install wouldn't remedy the infection . . . it would just come back again from the BIOS unless the BIOS was also flashed with a clean copy. Which means users would have to keep a clean copy of the BIOS handy and also know how to flash it.

At this stage it's only been demonstrated in controlled environments by security researchers, but the malware writers can't be too far behind and some think malware bums may be ready to release something into the wild in the next few weeks.

Don't want to sound like the-sky-is-falling Chicken Little, but this is not good news! If the malware creators find a way of injecting it into the BIOS of an infected machine there would have to be a complete rethink on the way that users are advised, and that in itself will be no mean feat either. We may have to go back to geek school to learn how to deal with this kind of nastiness .

If the malware writers have the ability to affect a computer's flash memory with a rootkit, the BIOS would need to be configured to disable writing to flash memory. BIOS password?

It's always a steep learning curve and the hill just got steeper!

Security expert articles on this can be found here and here.

BIOS password issues are discussed on Tom's Hardware here.

This injection is true for systems that are "open" and I quote from one article:

"Of course, injecting code into the BIOS is no easy feat. It requires physical access to the machine or an exploit that hands an attacker unfettered root access"

Unfettered root access = ability to make changes to the bios, aka: Flash BIOS

Some Mainboards have Jumpers to protect before erroneously Flashing.

Other Mainboards have a BIOS-Setup-Option called "Flash Bios Protection", "Firmware Write Protect", "Bios Guardian" or "BIOS-ROM Flash-Protect"

Whether via jumper or BIOS setting, they are generally enabled to protect you, though it doesn't hurt to check for yourself to make sure.





Fuente: HowToGeek [Forum]





Hay una presentación de la conferencia BlackHat bastante interesante: Implementing and Detecting an ACPI BIOS Rootkit. John Heasman [Enlace]



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

lapsus

#2
Muchas Gracias por tu time y los links, me los estudiaré.
Pero asi de primeras dice que hace falta acceso físico a la máquina y privilegios. Como que son articulos de hace unos años, porque las actualizaciones de bios las hay q funcionan desde el windoze.
Coño, que se me habia pasao el flash protect, esperate q reinicio y ahora welvo. xDD
Saludos.

PD.: El ultimo enlace no me tira? el de la con

madpitbull_99

Ya esta solucionado el link de la Defcon.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

lapsus

Eternamente agradecido, así da gusto. Espero poder aportar a la comunidad proximamente ;D
Me asalta una, espero q última cuestión. tengo dos bios que no traen la opcion de la proteccion, en algun paper desos pone q la contraseña le añade un nivel de seguridad, pero visto que se puede actualizar desde el SO la bios, me parece q ponerle pass de admin no ayuda pal tema, me equivoco?

leucocito

Hola lapsus quedate tranquilo ya que NADIE puede infectar tu BIOS ningun tipo de software programado por un desarrollador puede infectar tu bios ya que no tienen nigun privilegio,no me he leido el texto debido a mi escaso nivel de ingles,pero he visto que mencionas que hay que tener acceso directo con la maquina,hay ya estamos ablando de posibles actualizaciones de estos tipos de memorias,como son la prom,eprom,eeprom que si se puede actualizar teniendo la debida actualizacion,pero estamos ablando de afectar a el entorno de el anillo Nº1 y eso no lo puede alguien que trabaja a el nivel Nº3


Saludos!

lapsus

#6
Yo tranquilo estoy, solo que me gusta adquirir conocimientos.
Pero vamos a ver, en cualquier sitio puedes ver en google, o bien en la web de fabricante de tu bios q puedes actualizarla (pq en windows normalmente el usuario tiene todos los privilegios) desde el SO; entonces un malware q tenga acceso a nivel de root puede hacerlo, esa es mi conclusion.
Ah, y aunque no sepas ingles, esta sangoogletraslate :D

madpitbull_99

Cita de: leucocito en 26 Diciembre 2010, 02:10 AM
hay que tener acceso directo con la maquina

No necesariamente, usa el traductor de Google si no entiendes bien el texto:
CitarIt requires physical access to the machine or an exploit that hands an attacker unfettered root access.
En Windows cada poco tiempo se descubre algún exploit que eleva privilegios.

Te recomiendo la presentación que he dejado mas arriba.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

leucocito

#8
Siento decirte madpitbull_99 que no he leido el texto en ingles ya que no hace falta leer nada ya que es "IMPOSIBLE" si no ya lo hubiera leido con el traductor.

En Windows cada poco tiempo se descubre algún exploit que eleva privilegios.

En eso estoy totalmente deacuerdo con tigo, pero como mencione no a ese tipo de privilegios ya que esos tipos de memoria es x decirlo de alguna manera  independiente a lo que pueda correr en algun S.O

salu2! ;)

Ca0s

Sí puede modificarse la BIOS desde un programa en windows. Yo mismo la he actualizado en varias ocasiones con uno. Sólo necesitas privilegios de admin.
Es complejo pues has de modificar muy precisamente y tener en cuenta la BIOS ya instalada, pero posible.