Материалы по тегу: uefi

30.07.2020 [11:34], Юрий Поздеев

Серьезная уязвимость BootHole в GRUB2 ставит под угрозу миллионы систем по всему миру

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2 обновления вызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Постоянный URL: http://servernews.ru/1016991
01.07.2020 [23:09], Илья Коваль

Попрание устоев: Fedora Linux может отказаться от поддержки BIOS и заменить vi на nano

Для Linux пришло время больших перемен — в прошлом году начался «крестовый поход» против поддержки 32-бит систем, а уже в этом наметился курс на отказ от старых CPU без AVX2 и ряда других инструкций в рамках Fedora Enterprise Linux Next. Теперь разработчики обсуждают следующий логичный шаг — отказ от поддержки BIOS и работу только с UEFI.

GitHub: hakluke / how-to-exit-vim

GitHub: hakluke / how-to-exit-vim

Компания Intel, ключевой игрок серверного рынка, ещё три года назад пообещала избавиться от поддержки BIOS и OpROM-модулей к концу 2020 года — в современных платформах для их работы требуется принудительно включить режим совместимости CSM (Compatibility Support Module). ARM в рамках программы ServerReady склоняет производителей к унификации, и здесь наличие классического BIOS тоже не подразумевается.

Разработчики дистрибутива Fedora, который многие называют тестовым полигоном для нововведений, попадающих в итоге в Red Hat Enterprise Linux и его «потомков», обсуждают возможность отказа от поддержки BIOS и работу только с UEFI. Отмечается, что современное «железо» всё равно не будет адекватно работать с 32-бит ОС и ПО и не будет совместимо с действительно старым оборудованием.

Если решение об отказе будет принято, а произойдёт это всё равно не раньше следующего года, то обладатели старых, но всё ещё рабочих, то есть чаще всего серверных, систем вряд ли этому обрадуются. Кроме того, могут возникнуть и проблемы с системами виртуализации — почти все из них по умолчанию предлагают загрузку виртуальных машин именно с эмуляцией BIOS, а не UEFI.

Второе важное изменение, обсуждаемое в сообществе Fedora, носит не технический, а скорее исторический характер. В качестве текстового редактора предлагается всегда использовать по умолчанию nano вместо vi (или Vim). Оба из них достаточно легковесны для любых современных систем (со встраиваемыми решениями это не всегда так, но Fedora к таковым трудно отнести). Однако nano гораздо проще в использовании для неподготовленного пользователя, он хотя бы отображает подсказки для клавиатурных сочетаний прямо на экране.

Vi и его наследники по историческим причинам используют отдельные режимы для набора текста и манипуляций над ним, в которых назначение клавиш отличается и никаких подсказок по умолчанию не выводится. Никакой сложности в этом на самом деле нет, но вопрос «Как выйти из vi(m)» регулярно задаётся на протяжении 40 с лишним лет, что стало поводом для, пожалуй, изрядно затянувшихся шуток. Есть даже специальные подборки весьма изощрённых способов покинуть редактор.

Постоянный URL: http://servernews.ru/1014721
04.06.2020 [01:05], Игорь Осколков

Вместо Intel ME можно будет «зашить» загрузчик Linux 5.8

Если точнее, речь идёт об initrd, который используется в процессе загрузке Linux. Новые патчи, предложенные для следующего релиза ядра Linux 5.8, позволят использовать образ, размещённый непосредственно во флеш-памяти BIOS/UEFI материнской платы. Свободное место  для initrd можно получить, удалив из прошивки, например, Intel ME.

Новые патчи добавляют возможность передать в параметре initrdmem физический адрес и размер initrd, записанного во флеш-память. Такой подход необходим из-за ограничений, связанных со строением UEFI: добавление нового раздела невозможно без пересборки образа прошивки из исходников или написания отдельного драйвера. Так что единственная возможность — прямое указание адреса в памяти.

Новую функцию предлагается сделать опциональной для x86-платформ, а свободное место для initrd можно получить, удалив Intel ME. Автор патча отмечает, что для Intel ME обычно отводится половина объёма набортной флеш-памяти, да и вторая половина может использоваться не полностью, так что из типовых 16 Мбайт может быть доступно более десяти, чего вполне достаточно для initrd. Автор также занимается разработкой coreboot, открытой замены BIOS/UEFI.

Напомним, что в 2017 году в Intel ME (Management Engine) нашли серьёзные уязвимости, которые впоследствии были подтверждены Intel. В качестве одной из основных мер защиты предлагалось отключение части функций или полное удаление компонентов ME из прошивки плат. Соответствующие утилиты были созданы и сторонними разработчиками, и производителями оборудования.

Впрочем, новые патчи пригодятся не только для серверов или, реже, десктопных ПК, но и для одноплатных и промышленных компьютеров — в комментариях к патчу, например, указывается возможность работы на Atomic Pi на базе Intel Atom.

Постоянный URL: http://servernews.ru/1012583
05.09.2019 [18:15], Андрей Галадей

Oreboot — Rust-аналог Coreboot — получил поддержку RISC-V и ARM

Oreboot — это аналог Coreboot, который написан на Rust вместо C, что видно даже из названия проекта. Новинка позиционирует себя как замена Coreboot и уже позволяет работать с LinuxBoot. Ну а сам Coreboot является открытой заменой BIOS/UEFI. 

Активная разработка Oreboot продолжается уже несколько месяцев, но только на днях появилась базовая поддержка первых аппаратных платформ. Ими стали BMC-контроллер ASpeed AST2500 на базе ARM и плата HiFive Unleashed на базе RISC-V. 

Пока что Oreboot ориентируется только на полностью открытые системы, что означает, в частности, отсутствие поддержки x86. Исходный код проекта размещён на GitHub, так что желающие могут ознакомиться с ним. Больше подробностей стоит ожидать с конференции OSFC 2019, которая сейчас проходит в Калифорнии. 

puri.sm

puri.sm

В целом же тематика замены проприетарных версий BIOS / UEFI становится всё более популярной в среде крупных корпораций и IT-компаний. Ранее компания AMD сообщила , что намерена вернуться к поддержке Coreboot в своих продуктах. А в Supermicro добавили поддержку Coreboot для системной платы X11SSH-TF.

В целом, переход на open source в области программного и аппаратного обеспечения становится всё активнее. И причина тому — безопасность. Уж слишком часто проприетарные системы становились источниками разноплановых утечек, так что компании всё чаще обращают внимание на открытые аналоги.

К слову о  Rust. Недавно стало известно, что использование этого языка может стать реальностью для ядра Linux. Речь идёт о написании драйверов, что должно улучшить безопасность системы в целом. Правда, это потребует большой подготовительной работы, ведь потребуется создать специальный фреймворк и мотивировать разработчиков переходить на  Rust.

Постоянный URL: http://servernews.ru/993565
16.04.2013 [18:27], Андрей Крупин

«Лаборатория Касперского» интегрировала антивирусные технологии в «железо»

«Лаборатория Касперского» объявила о реализации проекта по созданию доверенной вычислительной среды и выпуске защитного решения для интерфейса загрузки UEFI (Unified Extensible Firmware Interface), пришедшего на смену BIOS и используемого для инициализации оборудования при включении компьютера и последующей передачи управления загрузчику операционной системы.

Новый продукт, получивший название Антивирус Касперского для UEFI, позволяет проверять используемые в процессе загрузки операционной системы файлы и предназначен в первую очередь для организаций, предъявляющих к вопросам информационной безопасности повышенные требования. В качестве потенциальных пользователей решения называются государственные, силовые, финансовые структуры, компании, занимающиеся разработкой инновационных технологий, предприятия энергетического и промышленного сектора.

Лаборатория Касперского занялась интеграцией антивирусных технологий в железо

В России Антивирус Касперского для UEFI будет доступен как коммерческим, так и государственным организациям в виде средства защиты, интегрированного в материнские платы рабочих станций, производимых компанией Kraftway. На сегодняшний день Kraftway выпускает пять моделей материнских плат с интегрированными модулями безопасности «Лаборатории Касперского».

«Интеграция наших технологий в «железо» — новая область работы для нас. Однако развитие киберугроз, их усложнение и модернизация требуют новых подходов не только в разработке, но и в распространении защитного ПО. И в этом плане сотрудничество с Kraftway, одним из ведущих производителей аппаратного обеспечения на российском рынке, как нельзя лучше способствует решению этой задачи. Кроме того, наше партнёрство позволит российским компаниям и пользователям в числе первых в мире получить качественную антивирусную защиту нового поколения», — отметил Сергей Земков, управляющий директор «Лаборатории Касперского» в России.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/597292
Система Orphus