Срочно. Материнские платы Supermicro и Pulse Secure уязвимы для TrickBoot

Материнские платы Supermicro и Pulse Secure уязвимы для TrickBoot. Примените патч в BIOS. Фото: Pixabay

В прошлом году компании  Advanced Intelligence  и  Eclypsium, занимающиеся кибербезопасностью,  выпустили совместный отчёт о  новом вредоносном модуле нацеленном на микропрограммное обеспечение, поставляемом печально известной вредоносной программой TrickBot, пишет Bleeping Computer.

При запуске модуль проанализирует прошивку UEFI устройства, чтобы определить, отключена ли на нем «защита от записи». Если это так, программа может выполнять различные вредоносные действия, такие как блокирование устройства, обход средств контроля безопасности операционной системы или повторное заражение системы даже после полной переустановки.

Чтобы проверить, включена ли в UEFI BIOS «защита от записи», модуль использует драйвер RwDrv.sys из утилиты RWEverything.

«Все запросы к прошивке UEFI, хранящейся во флэш-чипе SPI, проходят через контроллер SPI, который является частью концентратора контроллеров платформы (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки для предотвращения несанкционированного изменения прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI.

Современные системы предназначены для включения этих средств защиты от записи BIOS для предотвращения изменения прошивки; однако эти средства защиты часто не включаются или настраиваются неправильно. Если BIOS не защищён от записи, злоумышленники могут легко изменить прошивку или даже удалить её полностью», говорится в совместном заявлении Eclypsium и Advanced.

Способность вредоносного ПО анализировать прошивку устройства в настоящее время ограничена определёнными платформами Intel, включая Skylake, Kaby Lake, Coffee Lake, Comet Lake.

В опубликованном сегодня сообщении Supermicro предупреждает, что некоторые из их материнских плат X10 UP уязвимы для вредоносного ПО TrickBoot, и выпустила «критическое» обновление BIOS для включения защиты от записи.

«Supermicro осведомлена о  проблеме Trickboot, которая наблюдается только с  подмножеством материнских плат X10 UP . Supermicro будет обеспечивать смягчение этой уязвимости», — предупредила Supermicro сегодня в сообщении по безопасности.

Компания приводит список моделей уязвимых материнских плат серии X10 UP (« Denlow »)

• X10SLH-F  
• X10SLL-F  
• X10SLM-F  
• X10SLL + -F  
• X10SLM + -F  
• X10SLM + -LN4F  
• X10SLA-F  
• X10SL7-F  
• X10SLL-S / -SF  

Supermicro выпустила версию BIOS 3.4 для устранения уязвимости, но только для материнской платы X10SLH-F.

Владельцы материнских плат, которые достигли конца срока службы, должны связаться с Supermicro, чтобы получить доступ к новому BIOS.

Pulse Secure также  выпустила рекомендации,  поскольку их устройства Pulse Secure Appliance 5000 (PSA-5000) и Pulse Secure Appliance 7000 (PSA-7000) работают на уязвимом оборудовании Supermicro.

В настоящее время Pulse Secure выпустила исправление BIOS для устройств, работающих под управлением Pulse Connect Secure или Pulse Policy Secure. 

Владельцам Pulse One (только для локального устройства) придётся немного подождать, пока не будет выпущено исправление.