BIOS blijft besmet na patch
Wissen of vervangen harde schijf helpt niet
24 maart 2009 | Merijn Gelens
Twee Argentijnse onderzoekers hebben een methode ontdekt waarmee ze het BIOS kunnen infecteren met malware. De infectie van de computer blijft dan voortbestaan, zelfs als de harde schijven worden gewist.
Alfredo Ortega en Anibal Sacco, twee onderzoekers van Core Security Technologies, demonstreerden vorige week op het podium van de beveiligersbeurs Cansecwest hoe ze een BIOS zodanig kunnen infecteren dat herstarten en pogingen om opnieuw te flashen geen effect hebben.
Bij elke herstart opnieuw
Met de getoonde techniek patchen ze het BIOS met een klein stukje code, dat vervolgens volledige toegang tot een machine geeft. De demonstratie verliep probleemloos op een Windows-machine, een computer met daarop OpenBSD en op een andere machine waarop Vmware Player werd gedraaid.
Volgens Ortega kunnen ze de code plaatsen waar ze maar willen en worden bij de besmetting geen zwaktes in het besturingssysteem gebruikt. Ze kunnen het BIOS bij iedere herstart opnieuw besmetten.
Nu nog een rootkit
Om de aanval uit te voeren, hebben de onderzoekers beheerrechten en fysieke toegang tot de machine nodig. Dat beperkt het effect behoorlijk, aangezien op dat moment de machine al volledig open ligt. De onderzoekers werken op dit moment aan een rootkit waarmee ze de aanval kunnen uitvoeren.
Het grootste gevaar aan de aanval is dat een geïnfecteerd systeem bijna niet meer op te schonen is. De harde schijf kan worden verwijderd en vernietigd, maar de infectie installeert zichzelf opnieuw op het schone systeem.
Lees meer artikels over :
beveiliging, malware, infectie, bios
bron: ZDNet
20/04/2009 21:26:07
Origineel bericht van DraXken 24/03/2009
Het is niet nodig om dit te doen. Bijna alle BIOS varianten ondesteunen extensies waar sommige hardware (videokaarten, scsi adapters, ...) kunnen op inhaken. Dit is universeel dus het zou me niet verbazen als via deze weg gaan.
Bij de meeste BIOSen kan je wel write protection inschakelen.
20/04/2009 21:26:07
Origineel bericht van z-man 24/03/2009
Ja maar als mijn geheugen goed is dan zal in die adres- mapped space de videokaart zelf zijn eigen bios plaatsen, dan hebben we het niet meer over de computer BIOS maar de videokaart BIOS. (Ik heb de laatste jaren de ontwikkeling van de BIOS niet meer gevolgd kan dus veranderd zijn)
20/04/2009 21:26:07
Origineel bericht van bounty Hasselt 24/03/2009
Z-man, zo zie je h�©. Snel antwoorden terwijl je er niet veel van afweet. Dus hou je mond in het vervolg, dat is beter.
Greetz,
Bounty
20/04/2009 21:26:06
Origineel bericht van z-man 24/03/2009
Cool, bounty, gaat direct eens uitleggen hoe die extensies kunnen misbruikt worden aangezien hij ervaring genoeg heeft om te weten dat ik er niets van ken.
20/04/2009 21:26:06
Origineel bericht van X.-man 24/03/2009
is iemand met veel blabla maar niet hoe het dan wel zou zijn?
Btw : "beheerrechten en fysieke toegang tot de machine" zo kan ik het ook ...
20/04/2009 21:26:06
Origineel bericht van DraXken 24/03/2009
Idd, het lijkt me niet echt spectaculair... Dat je code in de BIOS kan krijgen lijkt me niet zo verwonderlijk 
Ander moeten we bij elke nieuwe BIOS versie een nieuwe chip steken.
Daarbij moeten ze fysieke toegang hebben tot de PC of de gebruiker zo ver krijgen dat hij iets installeert. Ook niks nieuws, dacht ik...
Vervelend voor velen zal gewoon zijn dat formatteren niet helpt
20/04/2009 21:26:06
Origineel bericht van peerke pierlala 24/03/2009
Dat je het niet van het systeem krijgt met te herinstalleren of HDD te vervangen lijkt mij logisch, het zit in de bios, niet alleen op je disk. Duhh
Maar dat je het er niet uit krijgt met de bios te herflashen met een goede versie lijkt mij toch heel vreemd.
Verder zijn er een groot aantal BIOS leveranciers waarvan dater een beperkte BIOS-ROM aanwezig is.
Dit is niet te flashen en wordt via een hardware jumper op het moederbord geactiveerd.
Als je die jumper verzet, wordt je werk-BIOS overschreven door de ROM-BIOS en kan je enkel nog via USB of Diskette voor wie dat nog heeft, je BIOS flashen.
Tenzij de worm/virus zich in de andere aanwezige BIOSsen/firmware nestelt (GPU, SCSI,..) en van daar uit weer het BIOS en verder besmet.
20/04/2009 21:26:06
Origineel bericht van GDX^ 24/03/2009
Is het niet zo dat de recentere BIOS'en een extra ROM-chip aan boord hebben met daar de eerste versie van de BIOS op welke in het begin gebruikt wordt? Dit om een evenutueel mislukte BIOS-flash te kunnen herstellen?
Kan men dat ROM geheugen dan niet terugplaatsen? Het wordt normaal nooit overschreven, ook niet als met de BIOS flasht.
Of geraakt men niet zover om dit terug te zeggen...
20/04/2009 21:26:05
Origineel bericht van z-man 25/03/2009
Ik had toch verwacht dat bounty meer in zijn mars had.
Blijbaar kent hij nog minder dan ik de BIOS, wat een afgang!
Ok, ben wat opzoekingen gedaan, vooral die zogenaamde extensies maar ik blijf erbij dat het toch niet zo eenvoudig is om 1 virus te schrijven die in staat is om de grote variatie van BIOSsen in alle computers te patchen.
Er is toch heel weinig plaats in een BIOS geheugen, enje moet ergens toch nog voldoende code kunnen hebben zodat het complete virus+payload in de BIOS zit en ook op een of ander partitie van een harddisk. Want als je de BIOS flasht en je herstart is het terug besmet, dus er is zeker een kopie ergens op de harddisk partitie. Maar als je de harddisk formatteert en herstart dan is die harddisk terug besmet dus moet het hele programma in de zitten.
Het probleem is dus heel weinig ruimte voor de payload, dus waarschijnlijk is het een pure assembler programma, en de moeilijkheid de BIOS te patchen dat het een van de interrupt entrypoints zodanig patcht dat het eerst door jouw viruscode gaat. En hier verwacht ik een groter probleem. Een klein foutje en de BIOS is om zeep en er de PC start totaal niet meer op of crasht op willekeurige momenten.
Die zogenaamde extensies, dat is gewoon een toevoeging van functie nummers binnen een interrupt een beetje zoals OpenGL extenses. Viruscode die in die interrupts gestoken worden zullen waarschijnlijk nooit uitgevoerd worden tijdens de startup, en dus dode code zijn.
20/04/2009 21:26:05
Origineel bericht van uil_en _spiegel 03/04/2009
Ik weet niet veel af van IT maar wat ik wel weet is dat ik enkele jaren geleden een virus in mijn bios heb gehad en dat dit alleen in Linux kon worden opgespoord en verwijderd volgens de Pc-shop. Sindsdien ben ik dus ook overgeschakeld en heb ik minder last ervan maar dit kan snel veranderen.Hopelijk vind men een remedie er tegen.
20/04/2009 21:26:05
Origineel bericht van z-man 03/04/2009
Dat is een oude techniek die ze heruitvinden.
Vroeger werd de BIOS gewist, nu gaan ze hem patchen, maar het zal geen wereldwijde besmetting geven, want elke BIOS wijkt af van elkaar. Nogal arbeidsintensief om elke BIOS te reverse engineeren om een patch the kunnen voorzien.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
