Rischio bootkit anche per UEFI e Windows 8

Da alcuni decenni i PC utilizzano per lo start-up una soluzione basata su BIOS e MBR: il BIOS effettua e gestisce la procedura di boot dell'hardware e al termine delle operazioni cede il controllo del processo al Master Boot Record, che attiverà il loader per il sistema operativo. A partire da Windows Vista SP1 e Windows Server 2008 Microsoft ha aggiunto la possibilità di utilizzare il nuovo Unified Extensible Firmware Interface (UEFI), soluzione che dovrebbe garantire maggior sicurezza e flessibilità. In Windows 8 UEFI è presente e proprio alla coppia di elementi UEFI+Windows 8 dedichiamo ora la nostra attenzione.

Andrea Allievi - ricercatore di ITSEC - studiando le caratteristiche di UEFI e le varie modalità di interazione del processo nella fase di start-up sono arrivati a creare un bootkit, quindi del codice capace di aggirare le tecnologie di sicurezza e, potenzialmente, avviare azioni dannose per la sicurezza del sistema e dei dati. Si tratta di fatto di riportare anche in una soluzione basata su UEFI uno schema di attacco in tipico stile rootkit. Ricordiamo che la pericolosità di questi attacchi sta nel fatto che il malware viene attivato prima che il sistema operativo attivi le proprie soluzioni di sicurezza (antivirus, antimalware o simili software).

Andiamo per gradi e addentriamoci maggiormente nella questione sollevatra da ITSEC. I ricercatori hanno per ora realizzato un codice proof-of-concept in grado di intercettare la routine I/O di accesso al disco modificando così il caricamento del kernel di Windows 8. ITSEC afferma di aver poi disattivato attraverso il bootkit il controllo relativo alla certificazione dei driver caricati dal sistema operativo.

Al momento si tratta di un proof-of-concept ma la questione rimane rilevante, infatti uno degli aspetti che avrebbero dovuto spingere l'industria verso l'adozione di UEFI era proprio la sicurezza del nuovo processo e la difficoltà di realizzare in un sistema simile un attacco basato su rootkit. Marco Giuliani - direttore di ITSEC - riporta l'attenzione anche su un altro aspetto: mentre per la creazione di un rootkit nel precedente ecosistema basato su BIOS e MBR era necessario utilizzare codice assembly ora con UEFI si ha a propria disposizione un vero e proprio framework in linguaggio C.

Per ITSEC l'adozione di UEFI non deve essere vista come la risposta a ogni problema di sicurezza, e anche su soluzioni che utilizzano per il boot tale interfaccia è possibile prevedere attacchi malware attraverso bootkit. Con l'opzione Secure Boot che prevede certificazioni per l'hardware e per i sistemi operativi installabili sul sistema le cose potrebbero cambiare parecchio, ma come ben noto queste tecnologie tendono a limitare le opportunità a disposizione dell'utente lasciando agli OEM ampie possibilità di restrizione e controllo.