Rydym yn bwriadu mynd i lawr i'r lefel isel eto a siarad am ddiogelwch llwyfannau cyfrifiadur sy'n gydnaws â firmware x86. Y tro hwn, prif gynhwysyn yr ymchwil yw Intel Boot Guard (na ddylid ei gymysgu â Intel BIOS Guard!) - technoleg cychwyn BIOS a gefnogir gan galedwedd y gall gwerthwr system gyfrifiadurol ei galluogi neu ei hanalluogi'n barhaol yn y cam cynhyrchu. Wel, rydym eisoes yn gwybod y rysáit ymchwil: torri'n denau gweithrediad y dechnoleg hon trwy beirianneg wrthdroi, disgrifiwch ei phensaernïaeth, ei llenwi â manylion heb eu dogfennu, ei sesno â fectorau ymosodiad i'w flasu a'i gymysgu. Gadewch i ni ychwanegu tân gyda stori am sut mae bug wedi'i glonio wrth gynhyrchu sawl gwerthwr ers blynyddoedd yn caniatáu i ymosodwr posibl ddefnyddio'r dechnoleg hon i greu rootkit cudd na ellir ei ddileu (hyd yn oed gan raglennydd) yn y system.
Gyda llaw, mae'r erthygl yn seiliedig ar yr adroddiadau “On Guard for Rootkits: Intel BootGuard” o'r gynhadledd a 29ain cyfarfod (y ddau gyflwyniad ).
Firmware ar gyfer llwyfan cyfrifiadurol gyda phensaernïaeth Intel 64
I ddechrau, gadewch i ni ateb y cwestiwn: beth yw cadarnwedd llwyfan cyfrifiadurol modern gyda phensaernïaeth Intel 64? Wrth gwrs, UEFI BIOS. Ond ni fydd yr ateb hwn yn gywir. Gadewch i ni edrych ar y ffigur, sy'n dangos y fersiwn bwrdd gwaith (gliniadur) o'r bensaernïaeth hon.
Y sail yw'r ddolen:
- Prosesydd (CPU, Uned Brosesu Ganolog), sydd, yn ogystal â'r prif greiddiau, â chraidd graffeg adeiledig (nid ym mhob model) a rheolydd cof (IMC, Rheolydd Cof Integredig);
- Chipset (PCH, Platform Controller Hub), sy'n cynnwys gwahanol reolwyr ar gyfer rhyngweithio â dyfeisiau ymylol a rheoli is-systemau. Yn eu plith mae'r Intel Management Engine (ME) drwg-enwog, sydd hefyd â firmware (firmwedd Intel ME).
Mae gliniaduron, yn ychwanegol at yr uchod, yn gofyn am reolwr integredig (ACPI EC, Rheolydd Rheoli Uwch a Rhyngwyneb Pŵer Embedded), sy'n gyfrifol am weithrediad yr is-system bŵer, touchpad, bysellfwrdd, allweddi Fn (disgleirdeb sgrin, cyfaint sain, bysellfwrdd backlight, etc. ) a mwy. Ac mae ganddo hefyd ei firmware ei hun.
Felly, y cyfuniad o'r firmware uchod yw firmware y llwyfan cyfrifiadurol (firmwedd system), sy'n cael ei storio ar gof fflach SPI cyffredin. Fel nad yw defnyddwyr y cof hwn yn drysu lle mae rhywun yn gorwedd, mae cynnwys y cof hwn yn cael ei rannu i'r rhanbarthau canlynol (fel y dangosir yn y ffigur):
- UEFI BIOS;
- Firmware ACPI EC (ymddangosodd rhanbarth ar wahân gyda microarchitecture prosesydd Skylake (2015), ond yn y gwyllt nid ydym wedi gweld enghreifftiau o'i ddefnydd eto, felly mae'r firmware rheolydd gwreiddio yn dal i fod yn rhan o BIOS UEFI);
- Firmware Intel ME;
- cyfluniad (cyfeiriad MAC, ac ati) yr addasydd rhwydwaith GbE (Gigabit Ethernet) adeiledig;
- disgrifyddion fflach - prif ranbarth cof fflach, sy'n cynnwys awgrymiadau i ranbarthau eraill, yn ogystal â chaniatâd i gael mynediad atynt.
Ymdrinnir â gwahaniaethu mynediad i ranbarthau (yn unol â'r caniatâd penodedig) gan feistr bws SPI - y rheolydd SPI wedi'i ymgorffori yn y chipset, y gellir cyrchu'r cof hwn trwyddo. Os yw'r caniatâd yn cael ei osod i'r gwerthoedd a argymhellir (am resymau diogelwch) gan Intel, yna mae gan bob defnyddiwr o'r fflach SPI fynediad llawn (darllen / ysgrifennu) yn unig i'w rhanbarth. Mae'r gweddill naill ai'n ddarllenadwy neu'n anhygyrch. Ffaith hysbys: ar lawer o systemau, mae gan y CPU fynediad llawn i BIOS UEFI a GbE, darllenwch fynediad i ddisgrifyddion fflach yn unig, a dim mynediad i ranbarth Intel ME o gwbl. Pam llawer ac nid pob un? Mae'r hyn a argymhellir yn ddewisol. Byddwn yn dweud mwy wrthych yn ddiweddarach yn yr erthygl.
Mecanweithiau ar gyfer amddiffyn cadarnwedd platfform cyfrifiadur rhag cael ei addasu
Yn amlwg, dylai cadarnwedd platfform cyfrifiadurol gael ei amddiffyn rhag cyfaddawd posibl, a fyddai'n caniatáu i ymosodwr posibl gael troedle ynddo (goroesi diweddariadau / ailosodiadau OS), gweithredu eu cod yn y moddau mwyaf breintiedig, ac ati. Ac nid yw cyfyngu mynediad i ranbarthau cof fflach SPI, wrth gwrs, yn ddigon. Felly, defnyddir amrywiol fecanweithiau sy'n benodol i bob amgylchedd gweithredu i amddiffyn y firmware rhag addasiadau.
Felly, mae cadarnwedd Intel ME wedi'i lofnodi ar gyfer rheoli cywirdeb a dilysrwydd, ac yn cael ei wirio gan y rheolwr ME bob tro y caiff ei lwytho i mewn i'r cof ME UMA. Mae'r broses ddilysu hon eisoes wedi'i thrafod gennym ni yn un o'r ymroddedig i is-system Intel ME.
Ac mae cadarnwedd ACPI EC, fel rheol, yn cael ei wirio am uniondeb yn unig. Fodd bynnag, oherwydd y ffaith bod y deuaidd hwn wedi'i gynnwys yn BIOS UEFI, mae bron bob amser yn ddarostyngedig i'r un mecanweithiau amddiffyn y mae UEFI BIOS yn eu defnyddio. Gadewch i ni siarad amdanynt.
Gellir rhannu'r mecanweithiau hyn yn ddau gategori.
Ysgrifennwch amddiffyniad i ranbarth BIOS UEFI
- Amddiffyn cynnwys y cof fflach SPI yn gorfforol gyda siwmper ysgrifennu-amddiffyn;
- Diogelu rhagamcaniad rhanbarth BIOS UEFI yn y gofod cyfeiriad CPU gan ddefnyddio cofrestrau PRx y chipset;
- Mae rhwystro ymdrechion i ysgrifennu i ranbarth BIOS UEFI trwy gynhyrchu a phrosesu'r ymyriad SMI cyfatebol trwy osod y darnau BIOS_WE / BLE a SMM_BWP yn y cofrestrau chipset;
- Fersiwn fwy datblygedig o'r amddiffyniad hwn yw Intel BIOS Guard (PFAT).
Yn ogystal â'r mecanweithiau hyn, gall gwerthwyr ddatblygu a gweithredu eu mesurau diogelwch eu hunain (er enghraifft, llofnodi capsiwlau gyda diweddariadau UEFI BIOS).
Mae'n bwysig nodi, ar system benodol (yn dibynnu ar y gwerthwr), na ellir defnyddio'r holl fecanweithiau amddiffyn uchod, efallai na fyddant yn cael eu cymhwyso o gwbl, neu efallai y cânt eu gweithredu mewn ffordd sy'n agored i niwed. Gallwch ddarllen mwy am y mecanweithiau hyn a'r sefyllfa gyda'u gweithrediad yn . I'r rhai sydd â diddordeb, rydym yn argymell eich bod yn darllen y gyfres gyfan o erthyglau ar ddiogelwch BIOS UEFI o .
Dilysiad UEFI BIOS
Pan fyddwn yn siarad am dechnolegau cychwyn dibynadwy, y peth cyntaf sy'n dod i'r meddwl yw Secure Boot. Fodd bynnag, yn bensaernïol, fe'i cynlluniwyd i ddilysu cydrannau y tu allan i BIOS UEFI (gyrwyr, llwythwyr, ac ati), ac nid y firmware ei hun.
Felly, gweithredodd Intel mewn SoCs gyda microarchitecture Llwybr y Bae (2012) Boot Diogel caledwedd na ellir ei newid (Verified Boot), nad oes ganddo unrhyw beth i'w wneud â'r dechnoleg Secure Boot a grybwyllwyd uchod. Yn ddiweddarach (2013), cafodd y mecanwaith hwn ei wella ac, o dan yr enw Intel Boot Guard, fe'i rhyddhawyd ar gyfer byrddau gwaith gyda micro-bensaernïaeth Haswell.
Cyn disgrifio Intel Boot Guard, gadewch i ni edrych ar amseroedd rhedeg ym mhensaernïaeth Intel 64, sydd, gyda'i gilydd, yn wreiddiau ymddiriedaeth ar gyfer y dechnoleg cychwyn hon y gellir ymddiried ynddi.
Intel CPU
Mae Cap yn awgrymu mai'r prosesydd yw'r prif amgylchedd gweithredu ym mhensaernïaeth Intel 64. Pam ei fod hefyd yn wraidd ymddiriedaeth? Mae'n ymddangos mai meddiant yr elfennau canlynol sy'n ei wneud felly:
- Mae microcode ROM yn gof anweddol, na ellir ei ailysgrifennu ar gyfer storio microcode. Credir mai microcode yw gweithredu'r system cyfarwyddiadau prosesydd ar y cyfarwyddiadau symlaf. Yn digwydd mewn microcode hefyd . Felly yn y BIOS gallwch ddod o hyd i binaries gyda diweddariadau microcode (maent yn cael eu harosod ar amser cychwyn, oherwydd ni ellir trosysgrifo'r ROM). Mae cynnwys y binaries hyn wedi'i amgryptio, sy'n cymhlethu dadansoddiad yn fawr (felly, dim ond i'r rhai sy'n ei ddatblygu y mae cynnwys penodol y microcode yn hysbys), ac wedi'i lofnodi i reoli cywirdeb a dilysrwydd;
- Allwedd AES i ddadgryptio cynnwys diweddariadau microgod;
- stwnsh o allwedd gyhoeddus RSA sy'n gwirio llofnod diweddariadau microgod;
- hash allwedd gyhoeddus RSA, sy'n gwirio llofnod modiwlau cod ACM (Modiwl Cod Dilysu) a ddatblygwyd gan Intel, y gall y CPU eu rhedeg cyn i'r BIOS ddechrau (helo microcode) neu yn ystod ei weithrediad, pan fydd rhai digwyddiadau'n digwydd.
Intel ME
Neilltuwyd yr is-system hon yn ein blog . Dwyn i gof bod yr amgylchedd gweithredadwy hwn yn seiliedig ar y microreolydd sydd wedi'i ymgorffori yn y chipset a dyma'r mwyaf cudd a breintiedig yn y system.
Er gwaethaf y llechwraidd, Intel ME hefyd yw gwraidd ymddiriedaeth, oherwydd mae ganddo:
- ME ROM - cof nad yw'n gyfnewidiol, na ellir ei ailysgrifennu (dim dull diweddaru wedi'i ddarparu), sy'n cynnwys y cod cychwyn, yn ogystal â hash SHA256 o allwedd gyhoeddus RSA, sy'n gwirio llofnod firmware Intel ME;
- Allwedd AES ar gyfer storio gwybodaeth gyfrinachol;
- mynediad i set o ffiwsiau (FPFs, Ffiwsiau Rhaglenadwy Maes) wedi'u hintegreiddio i'r chipset ar gyfer storio rhywfaint o wybodaeth yn barhaol, gan gynnwys gwybodaeth a bennir gan y gwerthwr system gyfrifiadurol.
Intel Boot Guard 1.x
Ymwadiad bach. Mae'r rhifau fersiwn o dechnoleg Intel Boot Guard a ddefnyddiwn yn yr erthygl hon yn fympwyol ac efallai nad oes ganddynt unrhyw beth i'w wneud â'r rhifo a ddefnyddir mewn dogfennaeth fewnol Intel. Yn ogystal, cafwyd y wybodaeth am weithrediad y dechnoleg hon a roddir yma yn ystod peirianneg wrthdroi, a gall gynnwys anghywirdebau o'i gymharu â'r fanyleb ar gyfer Intel Boot Guard, sy'n annhebygol o gael ei gyhoeddi byth.
Felly, mae Intel Boot Guard (BG) yn dechnoleg dilysu BIOS UEFI a gefnogir gan galedwedd. A barnu yn ôl ei ddisgrifiad bach yn y llyfr [Platform Embedded Security Technology Revealed, Chapter Boot with Integrity, neu Not Boot], mae'n gweithio fel cadwyn gychwyn y gellir ymddiried ynddi. A'r ddolen gyntaf ynddo yw'r cod cychwyn (microcode) y tu mewn i'r CPU, sy'n cael ei sbarduno gan y digwyddiad AILOSOD (na ddylid ei gymysgu â'r fector AILOSOD yn y BIOS!). Mae'r CPU yn dod o hyd i fodiwl cod (ACM cychwyn Intel BG) a ddatblygwyd ac a lofnodwyd gan Intel ar y cof fflach SPI, yn ei lwytho i mewn i'w storfa, yn ei wirio (nodwyd eisoes uchod bod gan y CPU hash allwedd gyhoeddus sy'n gwirio'r llofnod ACM ) ac yn dechrau.
Mae'r modiwl cod hwn yn gyfrifol am wirio rhan gychwynnol fach o BIOS UEFI - Bloc Cychwyn Cychwynnol (IBB), sydd, yn ei dro, yn cynnwys y swyddogaeth ar gyfer gwirio prif ran BIOS UEFI. Felly, mae Intel BG yn caniatáu ichi wirio dilysrwydd y BIOS cyn cychwyn yr OS (y gellir ei berfformio o dan oruchwyliaeth technoleg Secure Boot).
Mae technoleg Intel BG yn darparu dau ddull gweithredu (ac nid yw un yn ymyrryd â'r llall, h.y. gellir galluogi'r ddau fodd ar y system, a gellir analluogi'r ddau).
Esgid Mesur
Yn y modd Cist Mesur (MB), mae pob cydran cychwyn (gan ddechrau gyda'r ROM cist CPU) yn "mesur" yr un nesaf gan ddefnyddio galluoedd y Modiwl Llwyfan Ymddiried (TPM). I'r rhai nad ydyn nhw'n gwybod, gadewch i mi egluro.
Mae gan TPM PCRs (Cofrestrau Ffurfweddu Llwyfan), sy'n cofnodi canlyniad y gweithrediad stwnsio yn ôl y fformiwla:
Y rhai. mae'r gwerth PCR cyfredol yn dibynnu ar yr un blaenorol, a dim ond pan fydd y system yn AILOSOD y caiff y cofrestrau hyn eu hailosod.
Felly, yn y modd MB, ar ryw adeg, mae PCRs yn adlewyrchu dynodwr unigryw (o fewn galluoedd y gweithrediad hash) o'r cod neu'r data a "fesurwyd". Gellir defnyddio'r gwerthoedd PCR wrth amgryptio rhywfaint o weithrediad data (TPM_Seal). Ar ôl hynny, dim ond os nad yw'r gwerthoedd PCR wedi newid o ganlyniad i lwytho y bydd eu dadgryptio (TPM_Unseal) yn bosibl (h.y., nid yw un gydran “fesuredig” wedi'i haddasu).
Cist wedi'i Gwirio
Y peth mwyaf brawychus i'r rhai sy'n hoffi addasu BIOS UEFI yw'r modd Verified Boot (VB), lle mae pob cydran cychwyn yn gwirio cywirdeb a dilysrwydd yr un nesaf yn cryptograffig. Ac mewn achos o wall dilysu, (mae un o'r canlynol) yn digwydd:
- cau i lawr erbyn terfyn o 1 munud i 30 munud (fel bod y defnyddiwr yn cael amser i ddeall pam nad yw ei gyfrifiadur yn cychwyn, ac, os yn bosibl, yn ceisio adfer y BIOS);
- cau ar unwaith (fel nad oes gan y defnyddiwr amser i ddeall ac, ar ben hynny, i wneud);
- parhad o waith gyda wyneb syth (yr achos pan nad oes amser ar gyfer diogelwch, oherwydd mae pethau pwysicach i'w gwneud).
Mae'r dewis o gamau gweithredu yn dibynnu ar y cyfluniad Intel BG penodedig (sef, ar y polisi gorfodi fel y'i gelwir), sy'n cael ei gofnodi'n barhaol gan y gwerthwr platfform cyfrifiadurol mewn storfa a ddyluniwyd yn arbennig - ffiwsiau chipset (FPFs). Byddwn yn canolbwyntio ar y pwynt hwn yn fanylach yn nes ymlaen.
Yn ogystal â'r ffurfweddiad, mae'r gwerthwr yn cynhyrchu dwy allwedd RSA 2048 ac yn creu dau strwythur data (a ddangosir yn y ffigur):
- Maniffest allwedd gwraidd y gwerthwr (KEYM, Maniffest Allwedd Gwraidd OEM), sy'n rhoi SVN (Rhif Fersiwn Diogelwch) y maniffest hwn, stwnsh SHA256 o allwedd gyhoeddus y maniffest nesaf, allwedd gyhoeddus RSA (h.y. rhan gyhoeddus y maniffestr nesaf). allwedd gwraidd gwerthwr) i ddilysu llofnod y maniffest hwn a'r llofnod ei hun;
- Maniffest IBB (IBBM, Maniffest Bloc Cychwynnol), sy'n rhoi SVN y maniffest hwn, stwnsh SHA256 yr IBB, yr allwedd gyhoeddus ar gyfer gwirio llofnod y maniffest hwn, a'r llofnod ei hun.
Mae hash SHA256 o'r Allwedd Root OEM wedi'i ysgrifennu'n barhaol i ffiwsiau chipset (FPFs), yn union fel cyfluniad Intel BG. Os yw cyfluniad Intel BG yn darparu ar gyfer cynnwys y dechnoleg hon, yna o hyn ymlaen y system hon dim ond perchennog y rhan breifat o Allwedd Gwraidd OEM all ddiweddaru'r BIOS (h.y. gallu ailgyfrifo'r maniffestau hyn), h.y. gwerthwr.
Pan edrychwch ar y llun, mae amheuon yn codi ar unwaith am yr angen am gadwyn wirio mor hir - gallech fod wedi defnyddio un maniffest. Pam cymhlethu?
Mewn gwirionedd, mae Intel felly'n rhoi cyfle i'r gwerthwr ddefnyddio gwahanol allweddi IBB ar gyfer gwahanol linellau cynnyrch ac un fel gwraidd. Os bydd rhan breifat yr allwedd IBB (sy'n arwyddo'r ail faniffest) yn cael ei gollwng, bydd y digwyddiad yn effeithio ar un llinell gynnyrch yn unig a dim ond nes bod y gwerthwr yn cynhyrchu pâr newydd ac yn galluogi'r maniffestau wedi'u hailgyfrifo yn y diweddariad BIOS nesaf.
Ond os yw'r allwedd gwraidd yn cael ei beryglu (y mae'r maniffest cyntaf wedi'i lofnodi ag ef), ni fydd yn bosibl ei ddisodli, ni ddarperir y weithdrefn ddirymu. mae stwnsh rhan gyhoeddus yr allwedd hon yn cael ei raglennu i FPFs unwaith ac am byth.
Ffurfweddiad Intel Boot Guard
Nawr, gadewch i ni edrych yn agosach ar gyfluniad Intel BG a'r broses o'i greu. Os edrychwch ar y tab cyfatebol yn GUI yr Offeryn Delwedd Flash o'r Pecyn Offer System Intel (STK), fe sylwch fod cyfluniad Intel BG yn cynnwys hash o ran gyhoeddus allwedd gwraidd y gwerthwr, ychydig o aneglur. gwerthoedd, ac ati. Proffil Intel BG.
Strwythur y proffil hwn:
typedef struct BG_PROFILE
{
unsigned long Force_Boot_Guard_ACM : 1;
unsigned long Verified_Boot : 1;
unsigned long Measured_Boot : 1;
unsigned long Protect_BIOS_Environment : 1;
unsigned long Enforcement_Policy : 2; // 00b – do nothing
// 01b – shutdown with timeout
// 11b – immediate shutdown
unsigned long : 26;
};Yn gyffredinol, mae cyfluniad Intel BG yn endid hyblyg iawn. Ystyriwch, er enghraifft, y faner Force_Boot_Guard_ACM. Pan gaiff ei glirio, os na chanfyddir y modiwl ACM cychwyn BG ar y fflach SPI, ni fydd unrhyw gychwyn ymddiried ynddo. Bydd yn annibynadwy.
Ysgrifennom eisoes uchod y gellir ffurfweddu'r polisi gorfodi ar gyfer y modd VB fel, os bydd dilysu'n methu, unwaith eto, bydd dadlwythiad anymddiried yn digwydd.
Gadewch bethau fel hyn i fyny i'r gwerthwyr ...
Mae GUI y cyfleustodau yn darparu'r proffiliau "parod" canlynol:
Rhif
gyfundrefn
Disgrifiad
0
Na_FVME
Analluogwyd technoleg Intel BG
1
VE
Modd VB wedi'i alluogi, cau i lawr erbyn terfyn amser
2
VME
mae'r ddau fodd yn cael eu galluogi (VB a MB), cau i lawr erbyn terfyn amser
3
VM
mae'r ddau fodd yn cael eu galluogi, heb ddiffodd y system
4
FVE
Modd VB wedi'i alluogi, cau i lawr ar unwaith
5
FVME
galluogi'r ddau fodd, cau i lawr ar unwaith
Fel y crybwyllwyd eisoes, mae'n rhaid i'r cyfluniad Intel BG gael ei ysgrifennu unwaith ac am byth gan y gwerthwr system i ffiwsiau chipset (FPFs) - bach (yn ôl gwybodaeth heb ei wirio, dim ond 256 bytes) storio gwybodaeth caledwedd y tu mewn i'r chipset, y gellir ei raglennu y tu allan o gyfleusterau cynhyrchu Intel (felly dyna pam Rhaglenadwy Maes ffiwsiau).
Mae'n wych ar gyfer storio cyfluniad oherwydd:
- mae ganddo ardal storio data rhaglenadwy un-amser (yn union lle mae cyfluniad Intel BG wedi'i ysgrifennu);
- dim ond Intel ME all ei ddarllen a'i raglennu.
Felly, er mwyn gosod y cyfluniad ar gyfer technoleg Intel BG ar system benodol, mae'r gwerthwr yn gwneud y canlynol wrth gynhyrchu:
- Gan ddefnyddio'r Offeryn Delwedd Flash (o Intel STK), mae'n creu delwedd firmware gyda chyfluniad Intel BG penodol fel newidynnau y tu mewn i ranbarth Intel ME (y drych dros dro fel y'i gelwir ar gyfer FPFs);
- Gan ddefnyddio'r Offeryn Rhaglennu Flash (o Intel STK), yn ysgrifennu'r ddelwedd hon i gof fflach SPI y system ac yn cau'r hyn a elwir. modd gweithgynhyrchu (yn yr achos hwn, anfonir y gorchymyn cyfatebol i Intel ME).
O ganlyniad i'r gweithrediadau hyn, bydd Intel ME yn ymrwymo i FPFs y gwerthoedd penodedig o'r drych ar gyfer FPFs yn y rhanbarth ME, yn gosod y caniatâd mewn disgrifyddion fflach SPI i'r gwerthoedd a argymhellir gan Intel (a ddisgrifir ar ddechrau'r erthygl) a pherfformio AILOSOD system.
Dadansoddiad Gweithredu Intel Boot Guard
Er mwyn dadansoddi gweithrediad y dechnoleg hon ar enghraifft benodol, gwnaethom wirio'r systemau canlynol am olion technoleg Intel BG:
System
Nodyn
Gigabeit GA-H170-D3H
Skylake, mae cefnogaeth
Gigabyte GA-Q170-D3H
Skylake, mae cefnogaeth
Gigabyte GA-B150-HD3
Skylake, mae cefnogaeth
MSI H170A Gaming Pro
Skylake, dim cefnogaeth
Lenovo ThinkPad 460
Skylake, cefnogaeth ar gael, technoleg wedi'i alluogi
Lenovo Yoga 2 Pro
Haswell, dim cefnogaeth
Lenovo U330p
Haswell, dim cefnogaeth
Mae "Cymorth" yn golygu presenoldeb modiwl ACM cychwyn Intel BG, y maniffestau a grybwyllir uchod a'r cod cyfatebol yn y BIOS, h.y. gweithrediadau ar gyfer dadansoddi.
Er enghraifft, gadewch i ni gymryd yr un a lawrlwythwyd o'r swyddfa. delwedd safle gwerthwr o gof fflach SPI ar gyfer Gigabyte GA-H170-D3H (fersiwn F4).
Intel CPU cychwyn ROM
Yn gyntaf oll, gadewch i ni siarad am weithredoedd y prosesydd os yw technoleg Intel BG wedi'i alluogi.
Nid oedd yn bosibl dod o hyd i samplau o'r microcode wedi'i ddadgryptio, felly, mae sut mae'r camau a ddisgrifir isod yn cael eu gweithredu (mewn microgod neu mewn caledwedd) yn gwestiwn agored. Serch hynny, mae'r ffaith bod proseswyr modern Intel "yn gallu" cyflawni'r gweithredoedd hyn yn ffaith.
Ar ôl gadael y cyflwr AILOSOD, mae'r prosesydd (y mae cynnwys y cof fflach eisoes wedi'i fapio yn ei ofod cyfeiriad) yn dod o hyd i'r FIT (Tabl Rhyngwyneb Firmware). Gan ei fod yn hawdd, mae'r pwyntydd iddo wedi'i ysgrifennu yn y cyfeiriad FFFF FFC0h.
Yn yr enghraifft hon, mae'r cyfeiriad hwn yn cynnwys y gwerth FFD6 9500h. Gan droi at y cyfeiriad hwn, mae'r prosesydd yn gweld y tabl FIT, y mae ei gynnwys wedi'i rannu'n gofnodion. Y cofnod cyntaf yw pennawd y strwythur canlynol:
typedef struct FIT_HEADER
{
char Tag[8]; // ‘_FIT_ ’
unsigned long NumEntries; // including FIT header entry
unsigned short Version; // 1.0
unsigned char EntryType; // 0
unsigned char Checksum;
};
Am ryw reswm anhysbys, nid yw'r swm siec bob amser yn cael ei gyfrifo yn y tablau hyn (mae'r maes yn cael ei adael yn null).
Mae'r cofnodion sy'n weddill yn cyfeirio at amrywiol deuaidd y mae angen eu dosrannu / gweithredu cyn gweithredu'r BIOS, h.y. cyn newid i'r fector AILOSOD etifeddiaeth (FFFF FFF0h). Mae strwythur pob cofnod o'r fath fel a ganlyn:
typedef struct FIT_ENTRY
{
unsigned long BaseAddress;
unsigned long : 32;
unsigned long Size;
unsigned short Version; // 1.0
unsigned char EntryType;
unsigned char Checksum;
};
Mae'r maes EntryType yn nodi'r math o floc y mae'r cofnod hwn yn cyfeirio ato. Gwyddom am sawl math:
enum FIT_ENTRY_TYPES
{
FIT_HEADER = 0,
MICROCODE_UPDATE,
BG_ACM,
BIOS_INIT = 7,
TPM_POLICY,
BIOS_POLICY,
TXT_POLICY,
BG_KEYM,
BG_IBBM
};Mae'n amlwg bellach bod un o'r cofnodion yn pwyntio at leoliad deuaidd ACM cychwyn Intel BG. Mae strwythur pennawd y deuaidd hwn yn nodweddiadol ar gyfer modiwlau cod a ddatblygwyd gan Intel (ACMs, diweddariadau microcode, adrannau cod Intel ME, ...).
typedef struct BG_ACM_HEADER
{
unsigned short ModuleType; // 2
unsigned short ModuleSubType; // 3
unsigned long HeaderLength; // in dwords
unsigned long : 32;
unsigned long : 32;
unsigned long ModuleVendor; // 8086h
unsigned long Date; // in BCD format
unsigned long TotalSize; // in dwords
unsigned long unknown1[6];
unsigned long EntryPoint;
unsigned long unknown2[16];
unsigned long RsaKeySize; // in dwords
unsigned long ScratchSize; // in dwords
unsigned char RsaPubMod[256];
unsigned long RsaPubExp;
unsigned char RsaSig[256];
};
Mae'r prosesydd yn llwytho'r deuaidd hwn i'w storfa, yn gwirio ac yn lansio.
ACM cychwyn Intel BG
O ganlyniad i ddadansoddi gwaith yr ACM hwn, daeth yn amlwg ei fod yn gwneud y canlynol:
- yn derbyn gan Intel ME y cyfluniad Intel BG a ysgrifennwyd i'r ffiwsiau chipset (FPFs);
- yn canfod KEYM ac IBBM amlygiadau, yn eu gwirio.
I ddod o hyd i'r maniffestau hyn, mae ACM hefyd yn defnyddio'r tabl FIT, sydd â dau fath o gofnod i bwyntio at y strwythurau hyn (gweler FIT_ENTRY_TYPES uchod).
Gadewch i ni edrych yn agosach ar y maniffestos. Yn strwythur y maniffest cyntaf, gwelwn nifer o gysonion aneglur, stwnsh o'r allwedd gyhoeddus o'r ail faniffest, ac Allwedd Gwraidd OEM cyhoeddus wedi'i lofnodi fel strwythur nythu:
typedef struct KEY_MANIFEST
{
char Tag[8]; // ‘__KEYM__’
unsigned char : 8; // 10h
unsigned char : 8; // 10h
unsigned char : 8; // 0
unsigned char : 8; // 1
unsigned short : 16; // 0Bh
unsigned short : 16; // 20h == hash size?
unsigned char IbbmKeyHash[32]; // SHA256 of an IBBM public key
BG_RSA_ENTRY OemRootKey;
};
typedef struct BG_RSA_ENTRY
{
unsigned char : 8; // 10h
unsigned short : 16; // 1
unsigned char : 8; // 10h
unsigned short RsaPubKeySize; // 800h
unsigned long RsaPubExp;
unsigned char RsaPubKey[256];
unsigned short : 16; // 14
unsigned char : 8; // 10h
unsigned short RsaSigSize; // 800h
unsigned short : 16; // 0Bh
unsigned char RsaSig[256];
};
Er mwyn gwirio allwedd gyhoeddus Allwedd Gwraidd OEM, rydym yn cofio bod yr hash SHA256 o'r ffiwsiau yn cael ei ddefnyddio, sydd eisoes wedi'i dderbyn gan Intel ME ar hyn o bryd.
Symudwn ymlaen at yr ail faniffesto. Mae'n cynnwys tri strwythur:
typedef struct IBB_MANIFEST
{
ACBP Acbp; // Boot policies
IBBS Ibbs; // IBB description
IBB_DESCRIPTORS[];
PMSG Pmsg; // IBBM signature
};Mae'r un cyntaf yn cynnwys rhai cysonion:
typedef struct ACBP
{
char Tag[8]; // ‘__ACBP__’
unsigned char : 8; // 10h
unsigned char : 8; // 1
unsigned char : 8; // 10h
unsigned char : 8; // 0
unsigned short : 16; // x & F0h = 0
unsigned short : 16; // 0 < x <= 400h
};Mae’r ail yn cynnwys hash SHA256 yr IBB a nifer y disgrifyddion sy’n disgrifio cynnwys yr IBB (h.y. o beth mae’r hash wedi’i gyfrifo):
typedef struct IBBS
{
char Tag[8]; // ‘__IBBS__’
unsigned char : 8; // 10h
unsigned char : 8; // 0
unsigned char : 8; // 0
unsigned char : 8; // x <= 0Fh
unsigned long : 32; // x & FFFFFFF8h = 0
unsigned long Unknown[20];
unsigned short : 16; // 0Bh
unsigned short : 16; // 20h == hash size ?
unsigned char IbbHash[32]; // SHA256 of an IBB
unsigned char NumIbbDescriptors;
};Mae disgrifyddion yr IBB yn dilyn y strwythur hwn, un ar ôl y llall. Mae gan eu cynnwys y fformat canlynol:
typedef struct IBB_DESCRIPTOR
{
unsigned long : 32;
unsigned long BaseAddress;
unsigned long Size;
};Mae'n syml: mae pob disgrifydd yn cynnwys cyfeiriad/maint talp IBB. Felly, IBB yw amlen y blociau y mae'r disgrifyddion hyn yn cyfeirio atynt (yn nhrefn y disgrifyddion eu hunain). Ac, fel rheol, mae IBB yn gyfuniad o holl fodiwlau'r cyfnodau SEC a PEI.
Mae'r ail faniffest yn gorffen gyda strwythur sy'n cynnwys allwedd gyhoeddus IBB (wedi'i wirio gan stwnsh SHA256 o'r maniffest cyntaf) a llofnod y maniffest hwn:
typedef struct PMSG
{
char Tag[8]; // ‘__PMSG__’
unsigned char : 8; // 10h
BG_RSA_ENTRY IbbKey;
};
Felly, hyd yn oed cyn dechrau gweithredu BIOS UEFI, bydd y prosesydd yn lansio ACM, a fydd yn gwirio dilysrwydd cynnwys adrannau gyda chod cyfnod SEC a PEI. Nesaf, mae'r prosesydd yn gadael yr ACM, yn symud ar hyd y fector AILOSOD, ac yn dechrau gweithredu'r BIOS.
Rhaid i'r rhaniad wedi'i wirio gan PEI gynnwys modiwl a fydd yn gwirio gweddill y BIOS (cod DXE). Mae'r modiwl hwn eisoes yn cael ei ddatblygu gan IBV (Gwerthwr BIOS Annibynnol) neu'r gwerthwr system ei hun. Achos Dim ond systemau Lenovo a Gigabyte a drodd allan i fod ar gael inni a chael cefnogaeth Intel BG, gadewch i ni ystyried y cod a dynnwyd o'r systemau hyn.
Modiwl BIOS UEFI LenovoVerifiedBootPei
Yn achos Lenovo, hwn oedd y modiwl LenovoVerifiedBootPei {B9F2AC77-54C7-4075-B42E-C36325A9468D}, a ddatblygwyd gan Lenovo.
Ei waith yw edrych i fyny (drwy GUID) bwrdd stwnsh ar gyfer y DXE a gwirio'r DXE.
if (EFI_PEI_SERVICES->GetBootMode() != BOOT_ON_S3_RESUME)
{
if (!FindHashTable())
return EFI_NOT_FOUND;
if (!VerifyDxe())
return EFI_SECURITY_VIOLATION;
}Хеш таблица {389CC6F2-1EA8-467B-AB8A-78E769AE2A15} имеет следующий формат:
typedef struct HASH_TABLE
{
char Tag[8]; // ‘$HASHTBL’
unsigned long NumDxeDescriptors;
DXE_DESCRIPTORS[];
};typedef struct DXE_DESCRIPTOR
{
unsigned char BlockHash[32]; // SHA256
unsigned long Offset;
unsigned long Size;
};Modiwl BIOS UEFI BootGuardPei
Yn achos Gigabyte, trodd allan i fod yn fodiwl BootGuardPei {B41956E1-7CA2-42DB-9562-168389F0F066}, a ddatblygwyd gan AMI, ac felly'n bresennol mewn unrhyw BIOS AMI gyda chefnogaeth Intel BG.
Mae ei algorithm gweithredu ychydig yn wahanol, fodd bynnag, mae'n berwi i lawr i'r un peth:
int bootMode = EFI_PEI_SERVICES->GetBootMode();
if (bootMode != BOOT_ON_S3_RESUME &&
bootMode != BOOT_ON_FLASH_UPDATE &&
bootMode != BOOT_IN_RECOVERY_MODE)
{
HOB* h = CreateHob();
if (!FindHashTable())
return EFI_NOT_FOUND;
WriteHob(&h, VerifyDxe());
return h;
}Mae gan y tabl hash {389CC6F2-1EA8-467B-AB8A-78E769AE2A15} y mae'n edrych i fyny y fformat canlynol:
typedef HASH_TABLE DXE_DESCRIPTORS[];
typedef struct DXE_DESCRIPTOR
{
unsigned char BlockHash[32]; // SHA256
unsigned long BaseAddress;
unsigned long Size;
};Intel Boot Guard 2.x
Gadewch i ni siarad yn fyr am weithrediad arall o Intel Boot Guard, a ddarganfuwyd mewn system fwy newydd yn seiliedig ar Intel SoC gyda microarchitecture Apollo Lake - ASRock J4205-IT.
Er mai dim ond mewn SoCs y bydd y fersiwn hon yn cael ei defnyddio (mae systemau newydd gyda microarchitecture prosesydd Kaby Lake yn parhau i ddefnyddio Intel Boot Guard 1.x), mae o ddiddordeb mawr mewn archwilio opsiwn pensaernïaeth newydd ar gyfer llwyfannau yn seiliedig ar Intel SoCs, sydd wedi gweld diriaethol newidiadau, er enghraifft:
- Mae rhanbarthau BIOS a Intel ME (neu yn hytrach Intel TXE, yn ôl terminoleg Intel SoC) bellach yn un rhanbarth IFWI;
- er bod Intel BG wedi'i alluogi ar y llwyfan, ni ddarganfuwyd strwythurau fel FIT, KEYM, IBBM mewn cof fflach;
- yn ogystal â creiddiau TXE ac ISH (x86), ychwanegwyd trydydd craidd (ARC eto, gyda llaw) at y chipset - PMC (Rheolwr Rheoli Pŵer), sy'n gysylltiedig â sicrhau gweithrediad yr is-system pŵer a monitro perfformiad.
Mae cynnwys y rhanbarth IFWI newydd yn set o'r modiwlau canlynol:
Gwrthbwyso
enw
Disgrifiad
0000 2000 awr
SMIP
rhywfaint o gyfluniad platfform, wedi'i lofnodi gan y gwerthwr
0000 6000 awr
RBEP
Adran cod firmware Intel TXE, x86, wedi'i lofnodi gan Intel
0001 0000 awr
PMCP
adran cod firmware Intel PMC, ARC, wedi'i lofnodi gan Intel
0002 0000 awr
FTPR
Adran cod firmware Intel TXE, x86, wedi'i lofnodi gan Intel
0007B000h
UCOD
Diweddariadau microcode CPU wedi'u llofnodi gan Intel
0008 0000 awr
IBBP
BIOS UEFI, cyfnodau SEC/PEI, x86, gwerthwr wedi'i lofnodi
0021 8000 awr
ISHC
adran cod cadarnwedd Intel ISH, x86, wedi'i lofnodi gan y gwerthwr
0025 8000 awr
NFTP
Adran cod firmware Intel TXE, x86, wedi'i lofnodi gan Intel
0036 1000 awr
IUNP
anhysbys
0038 1000 awr
OBBP
UEFI BIOS, cyfnod DXE, x86, heb ei lofnodi
Yn ystod y dadansoddiad o'r firmware TXE, daeth yn amlwg, ar ôl AILOSOD, bod TXE yn cadw'r prosesydd yn y cyflwr hwn nes ei fod yn paratoi cynnwys sylfaenol y gofod cyfeiriad ar gyfer y CPU (FIT, ACM, AILOSOD fector ...). Ar ben hynny, mae TXE yn gosod y data hwn yn ei SRAM, ac ar ôl hynny mae'n darparu mynediad dros dro i'r prosesydd yno ac yn ei “rhyddhau” o RESET.
Ar warchod rootkits
Wel, nawr gadewch i ni symud ymlaen i'r "poeth". Fe wnaethom ddarganfod unwaith bod gan ddisgrifyddion fflach SPI ganiatâd ar lawer o systemau i gael mynediad i ranbarthau o gof fflach SPI fel y gall holl ddefnyddwyr y cof hwn ysgrifennu a darllen unrhyw ranbarth. Y rhai. Dim ffordd.
Ar ôl gwirio gyda chyfleustodau MEinfo (o Intel STK), gwelsom nad oedd y modd gweithgynhyrchu ar y systemau hyn ar gau, felly, gadawyd y ffiwsiau chipset (FPFs) mewn cyflwr amhenodol. Ydy, nid yw Intel BG wedi'i alluogi nac yn anabl mewn achosion o'r fath.
Rydym yn sôn am y systemau canlynol (ynghylch Intel BG a'r hyn a ddisgrifir yn ddiweddarach yn yr erthygl, byddwn yn siarad am systemau gyda microarchitecture prosesydd Haswell ac uwch):
- holl gynnyrch Gigabyte;
- pob cynnyrch MSI;
- 21 model gliniadur Lenovo a 4 model gweinydd Lenovo.
Wrth gwrs, fe wnaethom adrodd y darganfyddiad i'r gwerthwyr hyn, yn ogystal ag i Intel.
Ymateb digonol yn dilyn yn unig o Lenovopwy gydnabod y broblem a .
Gigabit Mae'n ymddangos eu bod wedi derbyn gwybodaeth am y bregusrwydd, ond ni wnaethant sylw mewn unrhyw ffordd.
Cyfathrebu gyda MSI wedi'i atal yn llwyr ar ein cais i anfon ein allwedd PGP cyhoeddus (er mwyn anfon cynghorwr diogelwch wedi'i amgryptio atynt). Dywedasant eu bod "yn wneuthurwr caledwedd ac nad ydynt yn cynhyrchu allweddi PGP."
Ond yn fwy i'r pwynt. Gan fod y ffiwsiau'n cael eu gadael mewn cyflwr anniffiniedig, gall y defnyddiwr (neu'r ymosodwr) eu rhaglennu ei hun (yr anoddaf yw ). Mae hyn yn gofyn am y camau canlynol.
1. Cychwyn i Windows OS (yn gyffredinol, gellir gwneud y camau a ddisgrifir isod hefyd o dan Linux, os ydych chi'n datblygu analog o Intel STK ar gyfer yr OS a ddymunir). Gan ddefnyddio cyfleustodau MEinfo, gwnewch yn siŵr nad yw'r ffiwsiau ar y system hon wedi'u rhaglennu.
2. Darllenwch gynnwys y cof fflach gan ddefnyddio'r Offeryn Rhaglennu Flash.
3. Agorwch y ddelwedd wedi'i darllen gan ddefnyddio unrhyw offeryn golygu BIOS UEFI, gwnewch y newidiadau angenrheidiol (gweithredu rootkit, er enghraifft), creu / golygu'r strwythurau KEYM ac IBBM presennol yn y rhanbarth ME.
Mae rhan gyhoeddus yr allwedd RSA wedi'i hamlygu yn y llun, a bydd y hash ohono'n cael ei raglennu i'r ffiwsiau chipset ynghyd â gweddill cyfluniad Intel BG.
4. Gan ddefnyddio'r Offeryn Delwedd Flash, adeiladwch ddelwedd firmware newydd (trwy osod cyfluniad Intel BG).
5. Ysgrifennwch ddelwedd newydd i fflachio gan ddefnyddio'r Offeryn Rhaglennu Flash, gwiriwch gan ddefnyddio MEinfo bod y rhanbarth ME bellach yn cynnwys cyfluniad Intel BG.
6. Defnyddiwch yr Offeryn Rhaglennu Flash i gau'r modd gweithgynhyrchu.
7. Bydd y system yn ailgychwyn, ac ar ôl hynny, gan ddefnyddio MEinfo, gallwch wirio bod yr FPFs bellach wedi'u rhaglennu.
Y gweithredoedd hyn am byth galluogi Intel BG ar y system hon. Bydd yn amhosibl dadwneud y weithred, sy'n golygu:
- dim ond perchennog rhan breifat yr allwedd gwraidd (h.y. yr un a alluogodd Intel BG) fydd yn gallu diweddaru BIOS UEFI ar y system hon;
- os dychwelwch y cadarnwedd gwreiddiol i'r system hon, er enghraifft, gan ddefnyddio rhaglennydd, ni fydd hyd yn oed yn troi ymlaen (o ganlyniad i bolisi gorfodi os bydd gwall dilysu);
- i gael gwared ar BIOS UEFI o'r fath, mae angen i chi ddisodli'r chipset gyda FPFs wedi'u rhaglennu gydag un “glân” (hy ail-werthu'r chipset os oes gennych chi fynediad i orsaf sodro isgoch am bris car, neu dim ond ailosod y famfwrdd ).
Er mwyn deall yr hyn y gall pecyn gwraidd o'r fath ei wneud, mae angen i chi werthuso beth sy'n ei gwneud hi'n bosibl gweithredu'ch cod mewn amgylchedd UEFI BIOS. Dywedwch, yn y modd mwyaf breintiedig y prosesydd - SMM. Efallai y bydd gan wreiddyn o'r fath y priodweddau canlynol:
- cael ei weithredu ochr yn ochr â'r OS (gallwch ffurfweddu prosesu trwy gynhyrchu ymyriad salwch meddwl difrifol, a fydd yn cael ei sbarduno gan amserydd);
- yn cael yr holl fanteision o fod yn y modd SMM (mynediad llawn i gynnwys RAM ac adnoddau caledwedd, cyfrinachedd gan yr OS);
- Gall y cod rootkit gael ei amgryptio a'i ddadgryptio pan gaiff ei lansio yn y modd SMM. Gellir defnyddio unrhyw ddata sydd ar gael yn y modd SMM yn unig fel allwedd amgryptio. Er enghraifft, hash o set o gyfeiriadau yn SMRAM. I gael yr allwedd hon, bydd angen i chi ddringo i mewn i'r SMM. A gellir gwneud hyn mewn dwy ffordd. Dewch o hyd i'r RCE yn y cod SMM a'i ddefnyddio, neu ychwanegwch eich modiwl SMM eich hun i'r BIOS, sy'n amhosibl, gan ein bod wedi galluogi Boot Guard.
Felly, mae'r bregusrwydd hwn yn caniatáu i ymosodwr:
- creu pecyn gwraidd cudd, na ellir ei dynnu, o ddiben anhysbys yn y system;
- gweithredwch eich cod ar un o'r creiddiau chipset y tu mewn i'r Intel SoC, sef, ar yr Intel ISH (edrychwch yn agosach ar y llun).
Er nad yw galluoedd is-system Intel ISH wedi'u harchwilio eto, mae'n ymddangos ei fod yn fector ymosodiad diddorol yn erbyn Intel ME.
Canfyddiadau
- Darparodd yr astudiaeth ddisgrifiad technegol o sut mae technoleg Intel Boot Guard yn gweithio. Llai ychydig o gyfrinachau yn diogelwch Intel trwy fodel ebargofiant.
- Cyflwynir senario ymosodiad sy'n caniatáu creu rootkit na ellir ei dynnu yn y system.
- Rydym wedi gweld bod proseswyr Intel modern yn gallu gweithredu llawer o god perchnogol hyd yn oed cyn i'r BIOS ddechrau.
- Mae llwyfannau gyda phensaernïaeth Intel 64 yn dod yn llai ac yn llai addas ar gyfer rhedeg meddalwedd am ddim: dilysu caledwedd, nifer cynyddol o dechnolegau ac is-systemau perchnogol (tri chraidd yn y chipset SoC: x86 ME, x86 ISH ac ARC PMC).
Lliniaru
Dylai gwerthwyr sy'n gadael y modd gweithgynhyrchu yn agored yn fwriadol ei gau yn bendant. Hyd yn hyn, dim ond cau eu llygaid maen nhw ac mae systemau Kaby Lake newydd yn dangos hyn.
Gall defnyddwyr analluogi Intel BG ar eu systemau (sy'n cael eu heffeithio gan y bregusrwydd a ddisgrifir) trwy redeg yr Offeryn Rhaglennu Flash gyda'r opsiwn -closemnf. Yn gyntaf, dylech sicrhau (gan ddefnyddio MEinfo) bod cyfluniad Intel BG yn y rhanbarth ME yn darparu ar gyfer diffodd y dechnoleg hon yn union ar ôl rhaglennu mewn FPFs.
Ffynhonnell: hab.com