- Сообщения
- 125
- Реакции
- 126
В рамках конференции Black Hat Asia 2018 исследователи кибербезопасности из Национального научно-исследовательского института безопасности Южной Кореи продемонстрировали новый вектор атаки S3 Sleep, направленный на среду Intel Trusted eXecution Environment (TXT). Уязвимость в Intel TXT позволяет хакерам скомпрометировать устройство во время его выхода из спящего режима.
Intel TXT представляет собой аппаратный функционал, поддерживающий технологию DRTM и проверяющий надежность платформы во время загрузки и запуска. Данная атака нацелена на функцию доверенной загрузки (tBoot) – одну из реализаций Intel TXT, обычно используемую в серверных средах.
В ходе презентации исследователи продемонстрировали эксплоит для уязвимости Lost Pointer (CVE-2017-16837), которая представляет собой программную ошибку в tBoot.
По словам экспертов, существуют механизмы защиты от данного вектора атаки, например, безопасная загрузка Unified Extensible Firmware Interface (UEFI), которая проверяет криптографическую подпись двоичного файла перед выполнением и останавливает его, если в исполняемом файле отсутствует действительная подпись, а Measured boot измеряет хэш двоичного кода перед выполнением и сохраняет результат в доверенном платформенном модуле (TPM).
ТPМ представляет собой аппаратное устройство безопасности, широко распространенное в коммерческих устройствах.
Когда система выходит из спящего режима, она должна включать функции безопасности процессора и восстанавливать регистры конфигурации платформы. Однако из-за уязвимости tBoot не проверяет все указатели функции, что может потенциально привести к выполнению произвольного кода.
Исследователи порекомендовали обновить tBoot до последней версии или отключить функцию сна в BIOS для защиты от атак подобного рода.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Последнее редактирование:
