Материалы по тегу: secure boot

11.04.2021 [14:15], Владимир Мироненко

Lenovo вслед за Dell стала привязывать процессоры AMD к своим продуктам

Ресурс ServeTheHome подтвердил, что компания Lenovo использует AMD Platform Secure Boot (PSB) для привязки процессоров AMD к своему оборудованию. Это означает, что если процессор был единожды запущен в составе платформы с необходимыми настройками PSB, то его нельзя будет использовать в системах других производителей. «Отвязать» такой CPU практически невозможно.

В частности, эта функция эффективно блокирует возможность использования ЦП на другой материнской плате или, по крайней мере, на материнской плате, не принадлежащей оригинальному производителю. AMD PSB использует встроенную в процессоры SoC AMD Secure Processor для аппаратного Root-of-Trust и управления другими функциями безопасности. По умолчанию PSB не включена, но каждый OEM-производитель волен использовать её по своему усмотрению.

Процессоры также по умолчанию разблокированы и могут быть использованы в любой платформе. Если таковой окажется система с активированной PSB, то в CPU будет намертво «зашита» информация о ключе, которым подписываются прошивки, BIOS/UEFI OEM-вендора. Это позволяет создать надёжную цепочку доверенной загрузки, начиная от «железа» и заканчивая ОС, что не только защищает от вмешательства в систему, но и предотвращает, к примеру, возможность кражи процессоров.

Однако в случае обновления системы путём установки другого CPU, старый фактически превращается в электронные отходы, если только он не попадает в руки того, у кого уже есть совместимая система. Если же материнская плата выйдет из строя, то владельцу придётся покупать новую плату у того же производителя. Причём это касается не только серверов — AMD PSB позволяет «привязывать» не только EPYC, но и AMD Ryzen Pro (Renoir и Cezanne) и Threadripper Pro.

Dell первой стала использовать PSB для привязки процессоров к своему оборудованию ещё во времена AMD EPYC 7001. Lenovo последовала её примеру и тоже стала использовать PSB в готовых системах. В свою очередь, HPE заявила, что не использует привязку CPU. Другие крупные вендоры, как правило, по умолчанию также не активируют привязку процессоров, но по желанию заказчика могут её включить.

Постоянный URL: http://servernews.ru/1037064
09.03.2021 [17:15], Владимир Мироненко

Microsoft анонсировала превью технологии доверенного запуска инстансов Azure Trusted Launch

Компания Microsoft анонсировала предварительную версию технологии доверенного запуска Azure Trusted Launch. Trusted Launch позволяет администраторам развёртывать виртуальные машины с проверенными и подписанными загрузчиками, ядрами ОС и политикой загрузки, которая использует модуль Trusted Launch Virtual Trusted Platform Module (vTPM) для выявления буткитов и руткитов и отслеживания того, была ли загрузка скомпрометирована.

Мониторинг vTPM позволяет администраторам видеть целостность всего процесса загрузки, а политики vTPM гарантируют отсутствие доступа к ключам, сертификатам и секретам у скомпрометированных виртуальных машин. Если служба обнаружит подозрительную активность во время загрузки, пользователи увидят предупреждение в Центре безопасности Azure (Azure Security Center).

Центр безопасности Azure представляет собой единую панель, куда сведены все предупреждения о нарушении целостности, рекомендации и исправления. Эти новые функции легко активируются: доверенный запуск включается простым изменением кода развёртывания или флажком на портале Azure для всех виртуальных машин.

Как сообщает ресурс TheRegister, опция Azure Trusted Launch пока доступна не для всех виртуальных машин. В частности, её не поддерживают инстансы HBv3, Lsv2, M, Mv2, NDv4 и NVv4. Пользователям также потребуется запустить RHEL 8.3, SUSE 15 SP2, Ubuntu 20.04 или 18.04 LTS, Windows Server 2019 или 2016 и Windows 10 Pro или Enterprise, чтобы воспользоваться преимуществами новой функции безопасности.

Microsoft пояснила, что опция Trusted Launch доступна в предварительной версии в отдельных регионах Azure без дополнительных затрат, и она поддерживает наиболее часто используемые образы операционных систем, а в ближайшее время появятся поддержка и других ОС.

Постоянный URL: http://servernews.ru/1034486
03.03.2021 [14:03], Андрей Галадей

В GRUB2 обнаружены 8 уязвимостей, которые позволяют обойти защиту UEFI Secure Boot

На сайте Ubuntu появилась информация о 8 уязвимостях в загрузчике GRUB2. Они позволяют обойти механизм UEFI Secure Boot и запустить код на уровне загрузчика или даже ядра. Суть в том, что для работы используется заверенная сертификатом Microsoft прослойка shim, которая, в свою очередь, заверяет GRUB2. Однако последующие обновления ядра и самого GRUB2 зачастую не заверяются.

Таким образом, если вредоносный код сработает во время загрузки, он сможет внедриться в цепочку доверия и, фактически, будет верифицирован. После того он сможет менять процесс загрузки, модифицировать ОС и так далее. Как сообщается, для решения проблемы нужно обновить сертификаты, а не только сам GRUB2. Также потребуется обновление дистрибутивов, поскольку на ПК с обновлёнными сертификатами версии со старым загрузчиком уже не запустятся.

Подробности об уязвимостях доступны вот здесь. При этом отмечается, что проблем в будущем планируется решить с помощью нового механизма SBAT (UEFI Secure Boot Advanced Targeting). Он поддерживается в GRUB2, shim и fwupd. Этот механизм заменил аналог из пакета dbxtool.

Что касается технических подробностей, то в SBAT будет использоваться набор метаданных (сведения о производителе, продукте, версии и компонентах), заверенный цифровой подписью. Фактически, это будет ещё один уровень проверки и защиты. Напомним, что ранее сообщалось о проблеме BootHole, которая также была связана с GRUB2.

Постоянный URL: http://servernews.ru/1034008
30.07.2020 [11:34], Юрий Поздеев

Серьезная уязвимость BootHole в GRUB2 ставит под угрозу миллионы систем по всему миру

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2 обновления вызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Постоянный URL: http://servernews.ru/1016991
15.06.2020 [16:56], Алексей Степин

Для следующего релиза Windows Server использование Secure Boot и TPM 2.0 станет обязательным

Windows Server, как и любая другая ОС, не лишена уязвимостей. В эпоху развития облачных и периферийных вычислений информационной безопасности следует уделять повышенное внимание. И именно так поступит Microsoft при выпуске следующей версии Windows Server. Новый релиз предусматривает обязательное наличие в серверной системе функций UEFI и TPM.

Модуль TPM 2.0 (GIGABYTE)

Модуль TPM 2.0 (GIGABYTE)

Многие пользователи систем и серверов на базе Windows Server полагаются на низкоуровневые системы безопасности, в частности, Secure Boot и BitLocker. Они лучше всего работают при наличии соответствующего программного и аппаратного обеспечения. Речь идёт о правильной реализации UEFI и наличии модуля Trusted Platform Module (TPM). Однако и Secure Boot, и TPM не всегда имеются в составе сервера по умолчанию.

Ранее сертификация Windows Server относилась к этому вопросу довольно прохладно, наличие UEFI Secure Boot и TPM не было обязательным. Это порождало и продолжает порождать слабость в системе ИТ-безопасности, когда речь заходит о серверах с Windows Server в качестве операционной системы.

Процесс Secure Boot в операционных системах семейства Windows 10

Процесс Secure Boot в операционных системах семейства Windows 10

Однако сейчас, когда облачных систем и систем периферийных вычислений всё больше, мириться с таким положением дел нельзя. И в Microsoft это понимают. Новая программа сертификации Windows Server предусматривает обязательное наличие TPM 2.0 и Secure Boot, причём для производителей и поставщиков серверов установлен крайний срок 1 января 2021 года.

В новом релизе Windows Server наличие и задействование этих компонентов станет обязательным. Причём речь идёт как о bare-metal установках, так и о виртуальных машинах, запущенных в Hyper-V или сторонних гипервизорах, одобренных в рамках программы Server Virtualization Validation Program (SVVP).

Конечно, пользователей ждут некоторые неудобства, но TPM 2.0 стандарт не новый. Сертификация уже существующих систем на Windows Server предусматривает так называемую фазу Additional Qualification (дополнительная квалификация) — достаточно установить модуль TPM 2.0 и задействовать опцию Secure Boot.

Под вопросом лишь срок выпуска нового крупного релиза Windows Sever. Пока эта дата остаётся в тайне. Можно только сказать, что речь идёт о второй половине текущего года. Следует также отметить, что программа Assurance AQ for Windows Server 2019 также предусматривает включение вышеупомянутых функций.

Постоянный URL: http://servernews.ru/1013443
Система Orphus