Šrēdingera uzticamais zābaks. Intel sāknēšanas aizsargs

Mēs ierosinām vēlreiz nolaisties līdz zemajam līmenim un runāt par programmaparatūras x86 saderīgu datoru platformu drošību. Šoreiz pētījuma galvenā sastāvdaļa ir Intel Boot Guard (nejaukt ar Intel BIOS Guard!) – ar aparatūru atbalstīta BIOS uzticama sāknēšanas tehnoloģija, ko datorsistēmu pārdevējs var pastāvīgi ieslēgt vai izslēgt ražošanas stadijā. Nu, mēs jau zinām pētījuma recepti: smalki sagrieziet šīs tehnoloģijas ieviešanu, izmantojot reverso inženieriju, aprakstiet tās arhitektūru, piepildot to ar nedokumentētām detaļām, papildiniet to ar uzbrukuma vektoriem pēc garšas un sajauciet to. Papildināsim uguni ar stāstu par to, kā gadiem ilgi klonēta kļūda vairāku pārdevēju ražošanā ļauj potenciālajam uzbrucējam izmantot šo tehnoloģiju, lai izveidotu slēptu sakņu komplektu, kuru nevar noņemt (pat programmētājs) sistēmā.

Starp citu, raksts ir balstīts uz konferences ziņojumiem “On Guard for Rootkits: Intel BootGuard”. ZeroNights 2016 un 29. sanāksme DefCon Krievija (abas prezentācijas šeit).

Programmaparatūra datora platformai ar Intel 64 arhitektūru

Sākumā atbildēsim uz jautājumu: kāda ir modernas datora platformas programmaparatūra ar Intel 64 arhitektūru? Protams, UEFI BIOS. Bet šī atbilde nebūs precīza. Apskatīsim attēlu, kurā parādīta šīs arhitektūras darbvirsmas (klēpjdatora) versija.

Pamats ir saite:

• Procesors (CPU, Central Processing Unit), kuram papildus galvenajiem kodoliem ir iebūvēts grafiskais kodols (ne visos modeļos) un atmiņas kontrolleris (IMC, Integrated Memory Controller);
• Chipset (PCH, Platform Controller Hub), kas satur dažādus kontrolierus mijiedarbībai ar perifērijas ierīcēm un apakšsistēmu pārvaldībai. Starp tiem ir bēdīgi slavenais Intel Management Engine (ME), kuram ir arī programmaparatūra (Intel ME programmaparatūra).

Klēpjdatoriem papildus iepriekšminētajam ir nepieciešams integrēts kontrolieris (ACPI EC, Advanced Control and Power Interface Embedded Controller), kas ir atbildīgs par barošanas apakšsistēmas darbību, skārienpaliktnis, tastatūra, Fn taustiņi (ekrāna spilgtums, skaņas skaļums, tastatūra fona apgaismojums utt.). ) un vairāk. Un viņam ir arī sava programmaparatūra.

Tātad iepriekš minētās programmaparatūras kombinācija ir datora platformas programmaparatūra (sistēmas programmaparatūra), kas tiek saglabāta kopējā SPI zibatmiņā. Lai šīs atmiņas lietotāji neapjuktu, kur kāds guļ, šīs atmiņas saturs ir sadalīts šādos reģionos (kā parādīts attēlā):

• UEFI BIOS;
• ACPI EC programmaparatūra (ar Skylake procesora mikroarhitektūru (2015) parādījās atsevišķs reģions, taču mēs vēl neesam redzējuši tās izmantošanas piemērus, tāpēc iegultā kontrollera programmaparatūra joprojām ir daļa no UEFI BIOS);
• Intel ME programmaparatūra;
• iebūvētā GbE (Gigabit Ethernet) tīkla adaptera konfigurācija (MAC adrese utt.);
• zibatmiņas deskriptori - galvenais zibatmiņas reģions, kurā ir norādes uz citiem reģioniem, kā arī atļaujas tiem piekļūt.

Ar piekļuves diferencēšanu reģioniem (saskaņā ar norādītajām atļaujām) veic SPI kopnes galvenais - mikroshēmojumā iebūvētais SPI kontrolleris, caur kuru tiek piekļūta šai atmiņai. Ja atļaujas ir iestatītas uz Intel ieteiktajām vērtībām (drošības apsvērumu dēļ), katram SPI zibatmiņas lietotājam ir pilna piekļuve (lasīšanas/rakstīšanas) tikai savam reģionam. Pārējie ir vai nu tikai lasāmi, vai nav pieejami. Zināms fakts: daudzās sistēmās centrālajam procesoram ir pilna piekļuve UEFI BIOS un GbE, lasīšanas piekļuve tikai zibatmiņas deskriptoriem un vispār nav piekļuves Intel ME reģionam. Kāpēc daudzi un ne visi? Ieteicamais nav obligāts. Mēs jums pastāstīsim vairāk vēlāk rakstā.

Mehānismi datora platformas programmaparatūras aizsardzībai pret modifikācijām

Acīmredzot datora platformas programmaparatūra ir jāaizsargā no iespējamiem kompromisiem, kas ļautu potenciālajam uzbrucējam tajā nostiprināties (izdzīvot OS atjauninājumus/pārinstalēšanu), izpildīt savu kodu priviliģētākajos režīmos utt. Un ar piekļuves ierobežošanu SPI zibatmiņas reģioniem, protams, nepietiek. Tāpēc, lai aizsargātu programmaparatūru no modifikācijām, tiek izmantoti dažādi katrai izpildes videi raksturīgi mehānismi.

Tātad Intel ME programmaparatūra ir parakstīta integritātes un autentiskuma kontrolei, un ME kontrolleris to pārbauda katru reizi, kad tā tiek ielādēta ME UMA atmiņā. Mēs jau esam apsprieduši šo verifikācijas procesu vienā no rakstiveltīta Intel ME apakšsistēmai.

Un ACPI EC programmaparatūra, kā likums, tiek pārbaudīta tikai pēc integritātes. Tomēr, ņemot vērā to, ka šis binārs ir iekļauts UEFI BIOS, uz to gandrīz vienmēr attiecas tie paši aizsardzības mehānismi, kurus izmanto UEFI BIOS. Parunāsim par tiem.

Šos mehānismus var iedalīt divās kategorijās.

Rakstīšanas aizsardzība UEFI BIOS reģionā

1. SPI zibatmiņas satura fiziskā aizsardzība ar rakstīšanas aizsardzības džemperi;
2. UEFI BIOS reģiona projekcijas aizsardzība CPU adrešu telpā, izmantojot mikroshēmojuma PRx reģistrus;
3. Bloķēt mēģinājumus rakstīt uz UEFI BIOS reģionu, ģenerējot un apstrādājot atbilstošo SMI pārtraukumu, iestatot BIOS_WE / BLE un SMM_BWP bitus mikroshēmojumu reģistros;
4. Uzlabota šīs aizsardzības versija ir Intel BIOS Guard (PFAT).

Papildus šiem mehānismiem pārdevēji var izstrādāt un ieviest savus drošības pasākumus (piemēram, parakstot kapsulas ar UEFI BIOS atjauninājumiem).

Ir svarīgi atzīmēt, ka konkrētai sistēmai (atkarībā no pārdevēja) visi iepriekš minētie aizsardzības mehānismi var nebūt piemēroti, tie var netikt piemēroti vispār vai arī tie var tikt ieviesti neaizsargātā veidā. Vairāk par šiem mehānismiem un situāciju ar to ieviešanu varat lasīt Šis raksts. Tiem, kurus interesē, iesakām izlasīt visu rakstu sēriju par UEFI BIOS drošību no CodeRush.

UEFI BIOS autentifikācijas pārbaude

Kad mēs runājam par uzticamām sāknēšanas tehnoloģijām, pirmais, kas nāk prātā, ir drošā sāknēšana. Tomēr arhitektoniski tas ir paredzēts, lai autentificētu komponentus ārpus UEFI BIOS (draiveri, ielādēji utt.), nevis pašu programmaparatūru.

Tāpēc Intel SoC ar Bay Trail mikroarhitektūru (2012) ieviesa aparatūras nepārslēdzamu Secure Boot (Verified Boot), kam nav nekāda sakara ar iepriekš minēto Secure Boot tehnoloģiju. Vēlāk (2013. gadā) šis mehānisms tika uzlabots un ar nosaukumu Intel Boot Guard tika izlaists galddatoriem ar Haswell mikroarhitektūru.

Pirms Intel Boot Guard apraksta, apskatīsim izpildes vides Intel 64 arhitektūrā, kas kopā ir šīs uzticamās sāknēšanas tehnoloģijas uzticības saknes.

Intel CPU

Cap liek domāt, ka procesors ir galvenā izpildes vide Intel 64 arhitektūrā. Kāpēc tas ir arī uzticības sakne? Izrādās, ka tas ir šādu elementu īpašums:

• Mikrokoda ROM ir nepastāvīga, nepārrakstāma atmiņa mikrokoda glabāšanai. Tiek uzskatīts, ka mikrokods ir procesora instrukciju sistēmas ieviešana pēc vienkāršākajām instrukcijām. Tas notiek arī mikrokodā bugs. Tātad BIOS var atrast bināros failus ar mikrokoda atjauninājumiem (tie tiek uzlikti sāknēšanas laikā, jo ROM nevar pārrakstīt). Šo bināro failu saturs ir šifrēts, kas ievērojami apgrūtina analīzi (tāpēc konkrētais mikrokoda saturs ir zināms tikai tiem, kas to izstrādā), un parakstīts, lai kontrolētu integritāti un autentiskumu;
• AES atslēga mikrokoda atjauninājumu satura atšifrēšanai;
• RSA publiskās atslēgas hash, kas pārbauda mikrokoda atjauninājumu parakstu;
• RSA publiskās atslēgas hash, kas pārbauda Intel izstrādāto ACM (Authenticated Code Module) koda moduļu parakstu, ko CPU var palaist pirms BIOS palaišanas (sveiki mikrokods) vai tās darbības laikā, kad notiek kādi notikumi.

Intel ME

Šī mūsu emuāra apakšsistēma bija veltīta две Raksts. Atgādiniet, ka šī izpildāmā vide ir balstīta uz mikrokontrolleri, kas iebūvēts mikroshēmojumā, un tā ir visslēptākā un priviliģētākā sistēmā.

Neskatoties uz slepenību, Intel ME ir arī uzticības sakne, jo tai ir:

• ME ROM - nepastāvīga, nepārrakstāma atmiņa (nav paredzēta atjaunināšanas metode), kas satur sākuma kodu, kā arī RSA publiskās atslēgas SHA256 hash, kas pārbauda Intel ME programmaparatūras parakstu;
• AES atslēga slepenās informācijas glabāšanai;
• piekļuve mikroshēmojumā integrētam drošinātāju komplektam (FPF, Field Programmable Fuse), lai pastāvīgi saglabātu noteiktu informāciju, tostarp informāciju, ko norādījis datorsistēmas piegādātājs.

Intel Boot Guard 1.x

Neliela atruna. Intel Boot Guard tehnoloģijas versiju numuri, ko mēs izmantojam šajā rakstā, ir patvaļīgi, un tiem var nebūt nekāda sakara ar Intel iekšējā dokumentācijā izmantoto numerāciju. Turklāt šeit sniegtā informācija par šīs tehnoloģijas ieviešanu tika iegūta reversās inženierijas laikā, un tajā var būt neprecizitātes salīdzinājumā ar Intel Boot Guard specifikāciju, kas, visticamāk, netiks publicēta.

Tātad Intel Boot Guard (BG) ir aparatūras atbalstīta UEFI BIOS autentifikācijas tehnoloģija. Spriežot pēc tā nelielā apraksta grāmatā [Platform Embedded Security Technology Revealed, Chapter Boot with Integrity, or Not Boot], tā darbojas kā uzticama sāknēšanas ķēde. Un pirmā saite tajā ir sāknēšanas kods (mikrokods) CPU iekšpusē, ko aktivizē RESET notikums (nejaukt ar RESET vektoru BIOS!). Centrālais procesors atrod SPI zibatmiņā Intel izstrādāto un parakstītu koda moduli (Intel BG startup ACM), ielādē to kešatmiņā, pārbauda (jau tika minēts iepriekš, ka centrālajam procesoram ir publiskās atslēgas hash, kas pārbauda ACM parakstu. ) un sākas.

Šis koda modulis ir atbildīgs par nelielas UEFI BIOS sākuma daļas - Initial Boot Block (IBB) - pārbaudi, kas savukārt satur funkcionalitāti UEFI BIOS galvenās daļas pārbaudei. Tādējādi Intel BG ļauj pārbaudīt BIOS autentiskumu pirms OS sāknēšanas (ko var veikt Secure Boot tehnoloģijas uzraudzībā).

Intel BG tehnoloģija nodrošina divus darbības režīmus (un viens netraucē otram, t.i., sistēmā var iespējot abus režīmus un atspējot abus).

Izmērīts Boot

Režīmā Measured Boot (MB) katrs sāknēšanas komponents (sākot ar CPU sāknēšanas ROM) "mēra" nākamo, izmantojot uzticamās platformas moduļa (TPM) iespējas. Tiem, kas nezina, paskaidrojiet.

TPM ir PCR (platformas konfigurācijas reģistri), kas reģistrē jaukšanas operācijas rezultātu pēc formulas:

Tie. pašreizējā PCR vērtība ir atkarīga no iepriekšējās, un šie reģistri tiek atiestatīti tikai tad, kad sistēma ir RESET.

Tādējādi MB režīmā kādā brīdī PCR atspoguļo unikālu (jaukšanas operācijas iespēju robežās) koda vai datu identifikatoru, kas tika "izmērīts". PCR vērtības var izmantot dažu datu šifrēšanai (TPM_Seal). Pēc tam to atšifrēšana (TPM_Unseal) būs iespējama tikai tad, ja PCR vērtības nav mainījušās ielādes rezultātā (t.i., nav mainīts neviens “izmērītais” komponents).

VerifiedBoot

Visbīstamākais tiem, kam patīk modificēt UEFI BIOS, ir Verified Boot (VB) režīms, kurā katrs sāknēšanas komponents kriptogrāfiski pārbauda nākamās integritāti un autentiskumu. Un verifikācijas kļūdas gadījumā notiek (viena no šīm darbībām):

• izslēgšana ar taimautu no 1 minūtes līdz 30 minūtēm (lai lietotājam būtu laiks saprast, kāpēc viņa dators netiek sāknēts, un, ja iespējams, mēģinātu atjaunot BIOS);
• tūlītēja izslēgšana (lai lietotājam nebūtu laika saprast un turklāt darīt);
• darba turpināšana ar taisnu seju (gadījums, kad nav laika drošībai, jo ir svarīgākas lietas, ko darīt).

Darbības izvēle ir atkarīga no norādītās Intel BG konfigurācijas (proti, no tā sauktās izpildes politikas), ko datora platformas pārdevējs pastāvīgi reģistrē īpaši izveidotā krātuvē - mikroshēmu drošinātāji (FPF). Sīkāk par šo punktu pakavēsimies vēlāk.

Papildus konfigurācijai piegādātājs ģenerē divas RSA 2048 atslēgas un izveido divas datu struktūras (parādītas attēlā):

1. Pārdevēja saknes atslēgas manifests (KEYM, OEM saknes atslēgas manifests), kurā tiek ievietots šī manifesta SVN (drošības versijas numurs), nākamā manifesta publiskās atslēgas SHA256 jaucējvārds, RSA publiskā atslēga (t.i., manifesta publiskā daļa). piegādātāja saknes atslēga), lai pārbaudītu šī manifesta parakstu un pašu parakstu;
2. IBB manifests (IBBM, Initial Boot Block Manifest), kas ievieto šī manifesta SVN, IBB SHA256 jaucējkodu, publisko atslēgu šī manifesta paraksta pārbaudei un pašu parakstu.

OEM saknes atslēgas SHA256 jaucējkods tiek pastāvīgi ierakstīts mikroshēmojuma drošinātājiem (FPF), tāpat kā Intel BG konfigurācija. Ja Intel BG konfigurācija paredz šīs tehnoloģijas iekļaušanu, tad turpmāk šajā sistēmā BIOS var atjaunināt (t.i. var pārrēķināt šos manifestus) tikai OEM Root Key privātās daļas īpašnieks, t.i. pārdevējs.

Apskatot attēlu, uzreiz rodas šaubas par tik garas verifikācijas ķēdes nepieciešamību - varējāt izmantot vienu manifestu. Kāpēc sarežģīt?

Faktiski Intel tādējādi nodrošina pārdevējam iespēju izmantot dažādas IBB atslēgas dažādām produktu līnijām un vienu kā sakni. Ja tiek nopludināta IBB atslēgas privātā daļa (kas paraksta otro manifestu), incidents ietekmēs tikai vienu produktu līniju un tikai līdz brīdim, kad piegādātājs ģenerēs jaunu pāri un iespējos pārrēķinātos manifestus nākamajā BIOS atjauninājumā.

Bet, ja saknes atslēga ir apdraudēta (ar kuru ir parakstīts pirmais manifests), to nevarēs aizstāt, atsaukšanas procedūra netiek nodrošināta. šīs atslēgas publiskās daļas hash ir vienreiz un uz visiem laikiem ieprogrammēts FPF.

Intel Boot Guard konfigurācija

Tagad apskatīsim tuvāk Intel BG konfigurāciju un tās izveides procesu. Ja skatāties uz atbilstošo cilni Flash attēla rīka GUI no Intel System Tool Kit (STK), jūs pamanīsit, ka Intel BG konfigurācijā ir iekļauts pārdevēja saknes atslēgas publiskās daļas jaukums, kas ir daži neskaidri. vērtības utt. Intel BG profils.

Šī profila struktūra:

typedef struct BG_PROFILE
{
	unsigned long Force_Boot_Guard_ACM : 1;
	unsigned long Verified_Boot : 1;
	unsigned long Measured_Boot : 1;
	unsigned long Protect_BIOS_Environment : 1;
	unsigned long Enforcement_Policy : 2; // 00b – do nothing
                                              // 01b – shutdown with timeout
                                              // 11b – immediate shutdown
	unsigned long : 26;
};

Kopumā Intel BG konfigurācija ir ļoti elastīga vienība. Apsveriet, piemēram, karodziņu Force_Boot_Guard_ACM. Kad tas ir notīrīts, ja BG startēšanas ACM modulis SPI zibatmiņā netiek atrasts, uzticama sāknēšana nenotiks. Tas būs neuzticams.

Mēs jau rakstījām iepriekš, ka VB režīma izpildes politiku var konfigurēt tā, ka, ja verifikācija neizdodas, atkal notiks neuzticama lejupielāde.

Atstājiet šādas lietas pārdevēju ziņā...

Lietderības GUI nodrošina šādus "gatavus" profilus:

numurs
Režīms
Apraksts

0
Nē_FVME
Intel BG tehnoloģija ir atspējota

1
VE
VB režīms ir iespējots, izslēgšana pēc taimauta

2
VME
abi režīmi ir iespējoti (VB un MB), izslēgšana pēc taimauta

3
VM
abi režīmi ir iespējoti, neizslēdzot sistēmu

4
FVE
Iespējots VB režīms, tūlītēja izslēgšana

5
FVME
abi režīmi iespējoti, tūlītēja izslēgšana

Kā jau minēts, Intel BG konfigurācija sistēmas pārdevējam vienreiz un uz visiem laikiem jāieraksta mikroshēmojuma drošinātājus (FPF) - nelielā (pēc nepārbaudītās informācijas tikai 256 baiti) aparatūras informācijas krātuvē mikroshēmojuma iekšpusē, ko var programmēt ārpusē. Intel ražošanas iekārtām (tāpēc Programmējams lauks drošinātāji).

Tas ir lieliski piemērots konfigurācijas glabāšanai, jo:

• ir vienreiz programmējama datu uzglabāšanas zona (tieši tur, kur ir rakstīta Intel BG konfigurācija);
• to var lasīt un programmēt tikai Intel ME.

Tātad, lai iestatītu Intel BG tehnoloģijas konfigurāciju noteiktā sistēmā, pārdevējs ražošanas laikā veic šādas darbības:

1. Izmantojot Flash Image Tool (no Intel STK), izveido programmaparatūras attēlu ar noteiktu Intel BG konfigurāciju kā mainīgos Intel ME reģionā (tā sauktais pagaidu spogulis FPF);
2. Izmantojot Flash programmēšanas rīku (no Intel STK), ieraksta šo attēlu sistēmas SPI zibatmiņā un aizver t.s. ražošanas režīms (šajā gadījumā atbilstošā komanda tiek nosūtīta Intel ME).

Šo darbību rezultātā Intel ME izmantos FPF norādītās vērtības no spoguļa FPFs ME reģionā, iestatīs atļaujas SPI zibspuldzes deskriptoros uz Intel ieteiktajām vērtībām (aprakstītas rakstu) un veiciet sistēmas RESET.

Intel Boot Guard ieviešanas analīze

Lai analizētu šīs tehnoloģijas ieviešanu konkrētā piemērā, mēs pārbaudījām šādas sistēmas, lai noteiktu Intel BG tehnoloģijas pēdas:

Sistēma
Piezīme

Gigabyte GA-H170-D3H
Skylake, ir atbalsts

Gigabyte GA-Q170-D3H
Skylake, ir atbalsts

Gigabyte GA-B150-HD3
Skylake, ir atbalsts

MSI H170A Gaming Pro
Skyleiks, bez atbalsta

Lenovo ThinkPad 460
Skylake, pieejams atbalsts, iespējota tehnoloģija

Lenovo Joga 2 Pro
Hasvels, bez atbalsta

Lenovo U330p
Hasvels, bez atbalsta

"Atbalsts" nozīmē Intel BG starta ACM moduļa, iepriekš minēto manifestu un atbilstošā koda klātbūtni BIOS, t.i. ieviešanas analīzei.

Kā piemēru ņemsim no biroja lejupielādēto. SPI zibatmiņas pārdevēja vietnes attēls Gigabyte GA-H170-D3H (versija F4).

Intel CPU sāknēšanas ROM

Vispirms parunāsim par procesora darbībām, ja ir iespējota Intel BG tehnoloģija.

Atšifrētā mikrokoda paraugus atrast neizdevās, tāpēc tas, kā tālāk aprakstītās darbības tiek realizētas (mikrokodā vai aparatūrā), ir atklāts jautājums. Tomēr fakts, ka mūsdienu Intel procesori "var" veikt šīs darbības, ir fakts.

Pēc iziešanas no RESET stāvokļa procesors (kura adrešu telpā jau ir kartēts zibatmiņas saturs) atrod FIT (Firmware Interface Table). Atrast to ir viegli, rādītājs uz to ir rakstīts adresē FFFF FFC0h.

Šajā piemērā šī adrese satur vērtību FFD6 9500h. Pievēršoties šai adresei, procesors redz FIT tabulu, kuras saturs ir sadalīts ierakstos. Pirmais ieraksts ir šādas struktūras virsraksts:

typedef struct FIT_HEADER
{
	char           Tag[8];     // ‘_FIT_   ’
	unsigned long  NumEntries; // including FIT header entry
	unsigned short Version;    // 1.0
	unsigned char  EntryType;  // 0
	unsigned char  Checksum;
};

Nezināma iemesla dēļ šajās tabulās ne vienmēr tiek aprēķināta kontrolsumma (lauks ir atstāts tukšs).

Atlikušie ieraksti norāda uz dažādiem binārajiem failiem, kas ir jāparsē/jāizpilda pirms BIOS izpildes, t.i. pirms pārslēgšanās uz mantoto RESET vektoru (FFFF FFF0h). Katra šāda ieraksta struktūra ir šāda:

typedef struct FIT_ENTRY
{
	unsigned long  BaseAddress;
	unsigned long  : 32;
	unsigned long  Size;
	unsigned short Version;     // 1.0
	unsigned char  EntryType;
	unsigned char  Checksum;
};

Lauks EntryType norāda bloka veidu, uz kuru norāda šis ieraksts. Mēs zinām vairākus veidus:

enum FIT_ENTRY_TYPES
{
	FIT_HEADER = 0,
	MICROCODE_UPDATE,
	BG_ACM,
	BIOS_INIT = 7,
	TPM_POLICY,
	BIOS_POLICY,
	TXT_POLICY,
	BG_KEYM,
	BG_IBBM
};

Tagad ir acīmredzams, ka viens no ierakstiem norāda uz Intel BG startēšanas ACM binārā atrašanās vietu. Šī bināra galvenes struktūra ir raksturīga Intel izstrādātajiem koda moduļiem (ACM, mikrokoda atjauninājumi, Intel ME koda sadaļas, ...).

typedef struct BG_ACM_HEADER
{
	unsigned short ModuleType;     // 2
	unsigned short ModuleSubType;  // 3
	unsigned long  HeaderLength;   // in dwords
	unsigned long  : 32;
	unsigned long  : 32;
	unsigned long  ModuleVendor;   // 8086h
	unsigned long  Date;           // in BCD format
	unsigned long  TotalSize;      // in dwords
	unsigned long  unknown1[6];
	unsigned long  EntryPoint;
	unsigned long  unknown2[16];
	unsigned long  RsaKeySize;     // in dwords
	unsigned long  ScratchSize;    // in dwords
	unsigned char  RsaPubMod[256];
	unsigned long  RsaPubExp;
	unsigned char  RsaSig[256];
};

Procesors ielādē šo bināro failu savā kešatmiņā, pārbauda un palaiž.

Intel BG startēšanas ACM

Šīs ACM darba analīzes rezultātā kļuva skaidrs, ka tas rīkojas šādi:

• saņem no Intel ME Intel BG konfigurāciju, kas ierakstīta mikroshēmojuma drošinātājiem (FPF);
• atrod KEYM un IBBM manifestus, pārbauda tos.

Lai atrastu šos manifestus, ACM izmanto arī FIT tabulu, kurā ir divu veidu ieraksti, kas norāda uz šīm struktūrām (skatiet iepriekš FIT_ENTRY_TYPES).

Apskatīsim manifestus tuvāk. Pirmā manifesta struktūrā mēs redzam vairākas neskaidras konstantes, otrā manifesta publiskās atslēgas jaucējkodu un publisko OEM saknes atslēgu, kas parakstīta kā ligzdota struktūra:

typedef struct KEY_MANIFEST
{
	char           Tag[8];          // ‘__KEYM__’
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 0
	unsigned char  : 8;             // 1
	unsigned short : 16;            // 0Bh
	unsigned short : 16;            // 20h == hash size?
	unsigned char  IbbmKeyHash[32]; // SHA256 of an IBBM public key
	BG_RSA_ENTRY   OemRootKey;
};

typedef struct BG_RSA_ENTRY
{
	unsigned char  : 8;             // 10h
	unsigned short : 16;            // 1
	unsigned char  : 8;             // 10h
	unsigned short RsaPubKeySize;   // 800h
	unsigned long  RsaPubExp;
	unsigned char  RsaPubKey[256];
	unsigned short : 16;            // 14
	unsigned char  : 8;             // 10h
	unsigned short RsaSigSize;      // 800h
	unsigned short : 16;            // 0Bh
	unsigned char  RsaSig[256];
};

Lai pārbaudītu OEM saknes atslēgas publisko atslēgu, atgādinām, ka tiek izmantots SHA256 jaucējkods no drošinātājiem, kas šobrīd jau ir saņemts no Intel ME.

Pāriesim pie otrā manifesta. Tas sastāv no trim struktūrām:

typedef struct IBB_MANIFEST
{
	ACBP Acbp;         // Boot policies
	IBBS Ibbs;         // IBB description
	IBB_DESCRIPTORS[];
	PMSG Pmsg;         // IBBM signature
};

Pirmajā ir dažas konstantes:

typedef struct ACBP
{
	char           Tag[8];          // ‘__ACBP__’
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 1
	unsigned char  : 8;             // 10h
	unsigned char  : 8;             // 0
	unsigned short : 16;            // x & F0h = 0
	unsigned short : 16;            // 0 < x <= 400h
};

Otrajā ir ietverts IBB SHA256 jaucējkods un deskriptoru skaits, kas apraksta IBB saturu (t.i., no kā tiek aprēķināts jaukums):

typedef struct IBBS
{
	char           Tag[8];            // ‘__IBBS__’
	unsigned char  : 8;               // 10h
	unsigned char  : 8;               // 0
	unsigned char  : 8;               // 0
	unsigned char  : 8;               // x <= 0Fh
	unsigned long  : 32;              // x & FFFFFFF8h = 0
	unsigned long  Unknown[20];
	unsigned short : 16;              // 0Bh
	unsigned short : 16;              // 20h == hash size ?
	unsigned char  IbbHash[32];       // SHA256 of an IBB
	unsigned char  NumIbbDescriptors;
};

IBB deskriptori seko šai struktūrai viens pēc otra. To saturam ir šāds formāts:

typedef struct IBB_DESCRIPTOR
{
	unsigned long  : 32;
	unsigned long  BaseAddress;
	unsigned long  Size;
};

Tas ir vienkārši: katrs deskriptors satur IBB gabala adresi/izmēru. Tādējādi bloku savienošana, uz kuru norāda šie deskriptori (pašu deskriptoru secībā), ir IBB. Un, kā likums, IBB ir visu SEC un PEI fāžu moduļu kombinācija.

Otrais manifests beidzas ar struktūru, kurā ir ietverta IBB publiskā atslēga (pārbaudīta ar SHA256 jaucējkodu no pirmā manifesta) un šī manifesta paraksts:

typedef struct PMSG
{
	char           Tag[8];            // ‘__PMSG__’
	unsigned char  : 8;               // 10h
	BG_RSA_ENTRY   IbbKey;
};

Tātad, pat pirms UEFI BIOS izpildes sākuma procesors palaidīs ACM, kas pārbaudīs sadaļu satura autentiskumu ar SEC un PEI fāzes kodu. Pēc tam procesors iziet no ACM, pārvietojas pa RESET vektoru un sāk izpildīt BIOS.

PEI pārbaudītajā nodalījumā ir jābūt modulim, kas pārbaudīs pārējo BIOS (DXE kodu). Šo moduli jau izstrādā IBV (Independent BIOS Vendor) vai pats sistēmas piegādātājs. Jo Mūsu rīcībā izrādījās tikai Lenovo un Gigabyte sistēmas un ar Intel BG atbalstu, ņemsim vērā no šīm sistēmām izvilkto kodu.

UEFI BIOS modulis LenovoVerifiedBootPei

Lenovo gadījumā izrādījās, ka tas ir Lenovo izstrādātais LenovoVerifiedBootPei {B9F2AC77-54C7-4075-B42E-C36325A9468D} modulis.

Tās uzdevums ir uzmeklēt (pēc GUID) DXE jaucējtabulu un pārbaudīt DXE.

if (EFI_PEI_SERVICES->GetBootMode() != BOOT_ON_S3_RESUME)
{
	if (!FindHashTable())
		return EFI_NOT_FOUND;
	if (!VerifyDxe())
		return EFI_SECURITY_VIOLATION;
}

Хеш таблица {389CC6F2-1EA8-467B-AB8A-78E769AE2A15} имеет следующий формат:

typedef struct HASH_TABLE
{
	char          Tag[8];            // ‘$HASHTBL’
	unsigned long NumDxeDescriptors;
	DXE_DESCRIPTORS[];
};

typedef struct DXE_DESCRIPTOR
{
	unsigned char BlockHash[32];     // SHA256
	unsigned long Offset;
	unsigned long Size;
};

UEFI BIOS modulis BootGuardPei

Gigabyte gadījumā izrādījās, ka tas ir BootGuardPei {B41956E1-7CA2-42DB-9562-168389F0F066} modulis, ko izstrādājis AMI, un tāpēc tas ir pieejams jebkurā AMI BIOS ar Intel BG atbalstu.

Tās darbības algoritms ir nedaudz atšķirīgs, taču tas ir vienāds:

int bootMode = EFI_PEI_SERVICES->GetBootMode();

if (bootMode != BOOT_ON_S3_RESUME &&
    bootMode != BOOT_ON_FLASH_UPDATE &&
    bootMode != BOOT_IN_RECOVERY_MODE)
{
	HOB* h = CreateHob();
	if (!FindHashTable())
		return EFI_NOT_FOUND;
	WriteHob(&h, VerifyDxe());
	return h;
}

Jauktabulai {389CC6F2-1EA8-467B-AB8A-78E769AE2A15} ir šāds formāts:

typedef HASH_TABLE DXE_DESCRIPTORS[];

typedef struct DXE_DESCRIPTOR
{
	unsigned char BlockHash[32];     // SHA256
	unsigned long BaseAddress;
	unsigned long Size;
};

Intel Boot Guard 2.x

Īsi parunāsim par citu Intel Boot Guard ieviešanu, kas tika atrasta jaunākā sistēmā, kuras pamatā ir Intel SoC ar Apollo Lake mikroarhitektūru – ASRock J4205-IT.

Lai gan šī versija tiks izmantota tikai SoC (jaunās sistēmas ar Kaby Lake procesora mikroarhitektūru turpina izmantot Intel Boot Guard 1.x), tā ir ļoti interesanta, lai izpētītu jaunu arhitektūras iespēju platformām, kuru pamatā ir Intel SoC un kas ir redzams taustāms. izmaiņas, piemēram:

• BIOS un Intel ME reģioni (vai drīzāk Intel TXE, saskaņā ar Intel SoC terminoloģiju) tagad ir viens IFWI reģions;
• lai gan platformā bija iespējots Intel BG, tādas struktūras kā FIT, KEYM, IBBM zibatmiņā netika atrastas;
• papildus TXE un ISH kodoliem (x86) mikroshēmojumam tika pievienots trešais kodols (starp citu, atkal ARC) - PMC (Power Management Controller), kas saistīts ar energoapgādes apakšsistēmas darbības nodrošināšanu un veiktspējas uzraudzību.

Jaunā IFWI reģiona saturs ir šādu moduļu kopa:

Offset
Vārds
Apraksts

0000 2000 stundas
SMIP
kāda platformas konfigurācija, ko parakstījis pārdevējs

0000 6000 stundas
RBEP
Intel TXE programmaparatūras koda sadaļa, x86, parakstījusi Intel

0001 0000 stundas
PMCP
programmaparatūras koda sadaļa Intel PMC, ARC, parakstījusi Intel

0002 0000 stundas
FTPR
Intel TXE programmaparatūras koda sadaļa, x86, parakstījusi Intel

0007B000h
UCOD
CPU mikrokoda atjauninājumi, ko parakstījis Intel

0008 0000 stundas
IBBP
UEFI BIOS, SEC/PEI fāzes, x86, pārdevēja paraksts

0021 8000 stundas
ISHC
koda sadaļa Intel ISH programmaparatūrai x86, ko parakstījis pārdevējs

0025 8000 stundas
NFTP
Intel TXE programmaparatūras koda sadaļa, x86, parakstījusi Intel

0036 1000 stundas
IUNP
nav zināms

0038 1000 stundas
OBBP
UEFI BIOS, DXE fāze, x86, neparakstīts

TXE programmaparatūras analīzes laikā kļuva skaidrs, ka pēc RESET TXE uztur procesoru šajā stāvoklī, līdz tas sagatavo CPU adrešu telpas pamata saturu (FIT, ACM, RESET vektors ...). Turklāt TXE ievieto šos datus savā SRAM, pēc tam uz laiku nodrošina procesoram tur piekļuvi un “atbrīvo” to no RESET.

Uzmanību no rootkit

Nu, tagad pāriesim pie "karstā". Mēs reiz atklājām, ka daudzās sistēmās SPI zibatmiņas deskriptoriem ir atļaujas piekļūt SPI zibatmiņas reģioniem, lai visi šīs atmiņas lietotāji varētu gan rakstīt, gan lasīt jebkuru reģionu. Tie. nevar būt.

Pēc pārbaudes ar utilītu MEinfo (no Intel STK), mēs redzējām, ka šajās sistēmās ražošanas režīms nebija slēgts, tāpēc mikroshēmu drošinātāji (FPF) tika atstāti nenoteiktā stāvoklī. Jā, šādos gadījumos Intel BG nav ne iespējots, ne atspējots.

Mēs runājam par šādām sistēmām (attiecībā uz Intel BG un to, kas tiks aprakstīts vēlāk rakstā, mēs runāsim par sistēmām ar Haswell procesora mikroarhitektūru un augstāku):

• visi Gigabyte produkti;
• visi MSI produkti;
• 21 Lenovo klēpjdatoru modeļi un 4 Lenovo serveru modeļi.

Protams, mēs ziņojām par atradumu šiem pārdevējiem, kā arī Intel.

Adekvāta atbilde sekoja tikai no Lenovokurš atzina problēmu un izlaida plāksteri.

Gigabyte Šķiet, ka viņi pieņēma informāciju par ievainojamību, taču nekādus komentārus nesniedza.

Saziņa ar MSI pilnībā apstājās pēc mūsu pieprasījuma nosūtīt mūsu publisko PGP atslēgu (lai nosūtītu viņiem šifrētu drošības ieteikumu). Viņi paziņoja, ka viņi "ir aparatūras ražotāji un neražo PGP atslēgas".

Bet vairāk par lietu. Tā kā drošinātāji ir atstāti nenoteiktā stāvoklī, lietotājs (vai uzbrucējs) var tos ieprogrammēt pats (visgrūtākais ir atrodiet Intel STK). Tam nepieciešamas šādas darbības.

1. Sāknējiet operētājsistēmā Windows OS (vispārīgi tālāk aprakstītās darbības var veikt arī no Linux, ja vēlamajai operētājsistēmai izstrādājat Intel STK analogu). Izmantojot MEinfo utilītu, pārliecinieties, vai šīs sistēmas drošinātāji nav ieprogrammēti.

2. Lasiet zibatmiņas saturu, izmantojot Flash programmēšanas rīku.

3. Atveriet lasīto attēlu, izmantojot jebkuru UEFI BIOS rediģēšanas rīku, veiciet nepieciešamās izmaiņas (ieviesiet, piemēram, rootkit), izveidojiet / rediģējiet esošās KEYM un IBBM struktūras ME reģionā.

Attēlā ir izcelta RSA atslēgas publiskā daļa, kuras hash tiks ieprogrammēts mikroshēmojuma drošinātos kopā ar pārējo Intel BG konfigurāciju.

4. Izmantojot Flash Image Tool, izveidojiet jaunu programmaparatūras attēlu (iestatot Intel BG konfigurāciju).

5. Uzrakstiet jaunu attēlu zibspuldzei, izmantojot Flash programmēšanas rīku, pārbaudiet, izmantojot MEinfo, vai ME reģionā tagad ir Intel BG konfigurācija.

6. Izmantojiet Flash programmēšanas rīku, lai aizvērtu ražošanas režīmu.

7. Sistēma tiks atsāknēta, un pēc tam, izmantojot MEinfo, varat pārbaudīt, vai FPF tagad ir ieprogrammēti.

Šīs darbības uz visiem laikiem iespējot Intel BG šajā sistēmā. Darbību nevarēs atsaukt, kas nozīmē:

• tikai saknes atslēgas privātās daļas īpašnieks (t.i., tas, kurš iespējoja Intel BG) varēs atjaunināt UEFI BIOS šajā sistēmā;
• ja atgriežat šai sistēmai oriģinālo programmaparatūru, piemēram, izmantojot programmētāju, tā pat neieslēdzas (pārbaudes kļūdas gadījumā tas ir izpildes politikas sekas);
• Lai atbrīvotos no šādas UEFI BIOS, mikroshēmojums ir jāaizstāj ar ieprogrammētiem FPF ar “tīru” (t.i., pārlodējiet mikroshēmu, ja ir pieejama infrasarkanā lodēšanas stacija par automašīnas cenu, vai vienkārši nomainiet mātesplati. ).

Lai saprastu, ko var darīt šāds rootkit, jums ir jāizvērtē, kas ļauj izpildīt jūsu kodu UEFI BIOS vidē. Teiksim, procesora priviliģētākajā režīmā - SMM. Šādam rootkit var būt šādas īpašības:

• jāizpilda paralēli OS (apstrādi var konfigurēt, ģenerējot SMI pārtraukumu, ko aktivizēs taimeris);
• ir visas SMM režīma priekšrocības (pilna piekļuve RAM saturam un aparatūras resursiem, slepenība no OS);
• Rootkit kodu var šifrēt un atšifrēt, kad tas tiek palaists SMM režīmā. Jebkurus datus, kas pieejami tikai SMM režīmā, var izmantot kā šifrēšanas atslēgu. Piemēram, jaucējkods no adrešu kopas SMRAM. Lai iegūtu šo atslēgu, jums būs jāiekļūst SMM. Un to var izdarīt divos veidos. Atrodiet RCE SMM kodā un izmantojiet to vai pievienojiet savu SMM moduli BIOS, kas nav iespējams, jo esam iespējojuši Boot Guard.

Tādējādi šī ievainojamība ļauj uzbrucējam:

• izveidot sistēmā slēptu, nenoņemamu rootkit ar nezināmu mērķi;
• izpildiet savu kodu vienā no mikroshēmojuma kodoliem Intel SoC iekšienē, proti, Intel ISH (skatiet attēlu tuvāk).

Lai gan Intel ISH apakšsistēmas iespējas vēl nav izpētītas, šķiet, ka tas ir interesants uzbrukuma vektors pret Intel ME.

Atzinumi

1. Pētījumā tika sniegts tehnisks apraksts par to, kā darbojas Intel Boot Guard tehnoloģija. Mīnus pāris Intel drošības noslēpumu, izmantojot neskaidrības modeli.
2. Tiek parādīts uzbrukuma scenārijs, kas ļauj sistēmā izveidot nenoņemamu rootkit.
3. Mēs esam redzējuši, ka mūsdienu Intel procesori spēj izpildīt daudz patentēta koda pat pirms BIOS palaišanas.
4. Platformas ar Intel 64 arhitektūru kļūst arvien mazāk piemērotas bezmaksas programmatūras darbināšanai: aparatūras pārbaude, arvien vairāk patentētu tehnoloģiju un apakšsistēmu (trīs kodoli SoC mikroshēmojumā: x86 ME, x86 ISH un ARC PMC).

Atvieglojumi

Pārdevējiem, kuri apzināti atstāj atvērtu ražošanas režīmu, tas noteikti ir jāaizver. Pagaidām viņi tikai aizver acis, un jaunās Kaby Lake sistēmas to parāda.

Lietotāji var atspējot Intel BG savās sistēmās (kuras ietekmē aprakstītā ievainojamība), palaižot Flash programmēšanas rīku ar opciju -closemnf. Pirmkārt, jums jāpārliecinās (izmantojot MEinfo), vai Intel BG konfigurācija ME reģionā nodrošina precīzu šīs tehnoloģijas izslēgšanu pēc programmēšanas FPF.

Avots: www.habr.com