研究团队利用技嘉BRIX迷你PC固件中的2个漏洞演示底层勒索软件

过去几年，勒索软件威胁从存在于浏览器中，发展到了进驻操作系统，再侵入到了引导加载程序。如今，直接深入到了驱动计算机硬件组件的底层固件。

今年年初，安全厂商Cylance的研究团队，演示了存在于主板统一可扩展固件接口(UEFI)，即现代BIOS中的概念验证勒索软件程序。

黑帽亚洲安全大会上，该团队揭示了他们的做法：利用台湾计算机制造商技嘉科技出品的两台超袖珍PC所用固件中的漏洞。

这两个漏洞影响技嘉的迷你PC准系统平台(BRIX) GB-BSi7H-6500 和 GB-BXi7-5775，可使攻击者获得操作系统访问权，权限提升，并在系统管理模式(SMM)下执行恶意代码。SMM是CPU的一种特殊运行方式，可以执行底层软件。

GB-BSi7H-6500

UEFI漏洞并不新鲜，各届安全大会上均有演示。但因为可以用于安装持久性强的恶意软件，甚至被完全清除乃至系统重装后都能再次感染操作系统，而受到攻击者的珍视。

UEFI rootkit——本就是为了隐藏其他恶意软件及其活动而生的恶意代码，是网络间谍或监视行动的完美工具。2015年意大利监视软件厂商 Hacking Team 数据泄露事件就揭示出，该公司为其司法和政府客户提供了一款 UEFI rootkit。

维基解密近期泄露的CIA网络武器文档也表明，该机构也掌握有可植入Mac机器的UEFI工具。

然而，Cylance研究团队并没有演示rootkit，而是展示了该勒索软件还能得益于UEFI的高权限和持续驻留。

查清恶意代码是否真切安装到了计算机底层固件中是非常困难的，清除它也是否复杂，因为这需要重刷一个干净的UEFI镜像。

技嘉计划本月发布针对 GB-BSi7H-6500 的固件更新以解决该漏洞，但不打算修复 GB-BXi7-5775——因为该型号已停止更新。

为应对刚刚曝出的CIA泄露工具，英特尔安全发布了一款工具，帮助计算机管理员验证自己的固件是否被植入了恶意代码。

UEFI漏洞的一个限制因素在于，不能应用在太多机器上。这是因为，世界上有数家固件/BIOS厂商为计算机制造商提供参考UEFI实现，供他们进一步添加自己的代码，定制固件。

这意味着，现代计算机的固件划分很多，一家厂商主板的UEFI漏洞，未必适用于其他厂商的产品，甚至同一厂商不同型号的产品。

相关阅读

维基解密：CIA早就可以轻易入侵苹果手机和电脑
三大恶意软件的绝密藏身之地：固件、控制器与BIOS