- Регистрация
- 04.10.25
- Сообщения
- 11
- Депозит
- 15,000 ₽
🧠 Firmware Security: как атакуют BIOS, UEFI и BMC
Уязвимости, атаки и защита на уровне, где нет антивирусов
Введение
Безопасность прошивок — это невидимый, но критический уровень современной инфраструктуры.Пока большинство инженеров защищает ОС, контейнеры и приложения, злоумышленники уже давно работают на нулевом уровне доверия — firmware layer: BIOS/UEFI, контроллеры BMC, Intel ME, SPI flash и периферийные микроконтроллеры.
Прошивка — это то, что запускается до ядра, имеет высшие привилегии и зачастую не имеет механизмов защиты от модификации.
Взлом BIOS или BMC позволяет:
- получать постоянный доступ (persistency) даже после переустановки ОС;
- внедрять rootkit, недоступный для антивируса;
- удалённо управлять системой независимо от ОС;
- проводить supply-chain атаки (заражение на этапе сборки).
1. Архитектура firmware-уровня
Чтобы понять, где атаковать — нужно знать, как это устроено.🔹 BIOS / UEFI
- Располагается в SPI flash на материнской плате.
- Загружается первым при включении, инициализирует память, CPU, устройства.
- Состоит из нескольких фаз: SEC → PEI → DXE → BDS → OS Loader.
- В UEFI (в отличие от старого BIOS) используется файловая структура, драйверы, протоколы и даже сетевой стек (PXE, HTTP boot).
🔹 Intel ME / AMD PSP
- Встроенные микроконтроллеры в чипсете, работающие параллельно CPU.
- Имеют собственную ОС (Minix-подобную), сетевой доступ и полный контроль над памятью.
- Используются для AMT, TPM и других “management” функций — но часто эксплуатируются как бэкдор.
🔹 BMC (Baseboard Management Controller)
- Отдельный микрокомпьютер (часто ARM), управляющий сервером даже при выключенном питании CPU.
- Использует IPMI, Redfish или KVM over LAN.
- Доступен из отдельной сети и часто слабо защищён (пароли по умолчанию, устаревшие web-интерфейсы).
2. Типовые векторы атак
⚔️ 2.1. SPI Flash Manipulation
Атакующий получает доступ (физически или через kernel exploit) и переписывает прошивку SPI.Примеры:
- Модификация DXE-драйвера, внедрение UEFI rootkit (пример — LoJax от APT28).
- Подмена bootloader’а, внедрение ключей Secure Boot.
- Манипуляции с Boot Guard и ME Region.
⚔️ 2.2. Firmware-Level Rootkits
Rootkit встраивается в UEFI, персистирует в NVRAM и загружает malicious DXE-драйвер при старте.- Устойчив к переустановке ОС и обновлениям.
- Может подменять ядро Linux или Windows Loader.
- Использует SMM (System Management Mode) для обхода защиты памяти.
UEFI rootkit CosmicStrand (обнаружен в 2022), внедрённый в прошивку ASUS и Gigabyte плат, активировался на стадии DXE и внедрял payload в Windows Kernel.
⚔️ 2.3. Intel ME Exploits
Intel ME имеет прямой доступ к DRAM, CPU, сети.Уязвимости (например, SA-00086) позволяли запускать собственный код в ME runtime.
Опасность: управление системой ниже уровня ОС, невидимость для любых средств мониторинга.
Инструменты:
- me_cleaner — попытка частично отключить ME.
- Chipsec — фреймворк для анализа и аудита безопасности платформы.
⚔️ 2.4. BMC и удалённое управление
BMC часто эксплуатируется через:- Web-интерфейсы (XSS, RCE, пароли по умолчанию).
- Уязвимости в IPMI/Redfish (например, CVE-2018-1207 в Dell iDRAC).
- Неизолированные management-сети.
Захват BMC = полный контроль над сервером, в том числе питание, прошивка, консоль.
Case-study: атака LightNeuron на Microsoft Exchange через BMC-компрометацию серверов.
3. Supply Chain: когда вредонос вшит с завода
Всё чаще атакующие заражают не конечные системы, а цепочку поставок:- заражение прошивки на этапе OEM-производства (пример — ShadowHammer, 2019, заражённые ASUS-обновления);
- вредоносные обновления через подписанные пакеты (Compromised vendor certificates).
- reproducible builds;
- firmware signing и secure update channels;
- SBOM (Software Bill of Materials) для firmware-компонентов.
4. Инструменты анализа и тестирования
| Инструмент | Назначение |
|---|---|
| CHIPSEC | Фреймворк от Intel для тестирования прошивок, UEFI и SPI |
| UEFITool / UEFIDump | Извлечение и модификация образов прошивок |
| Binwalk | Анализ бинарных образов, поиск сжатых блоков и ELF’ов |
| Flashrom | Чтение и запись SPI флешей |
| MEAnalyzer | Анализ регионов Intel ME / TXE |
| IDA Pro / Ghidra | Реверсинг DXE-драйверов и образов UEFI |
| RWEverything / AMT Tools | Доступ к ME, ACPI, PCI и SMBus-устройствам |
5. Защита и best practices
- Включить Secure Boot и обеспечить строгую цепочку доверия (PK, KEK, db/dbx).
- Использовать Signed Capsule Updates — только проверенные обновления BIOS.
- Ограничить запись в SPI Flash (BIOS Lock, FLOCKDN).
- Мониторить целостность firmware (fwupd, CHIPSEC integrity test).
- Изолировать BMC в отдельной VLAN, обновлять его прошивки и выключать ненужные сервисы.
- Контролировать supply chain: требовать подписанные образы, проверять SHA256.
- Удалить или ограничить Intel ME/AMT при возможности (через OEM tools).
6. Перспективы: Firmware Threat Intelligence
Современные APT-группы всё чаще уходят «вниз» — на уровень firmware и аппаратных компонентов.Появляются новые направления:
- Firmware-level EDR — мониторинг SPI/UEFI-событий.
- Hardware attestation через TPM 2.0 и DRTM.
- AI-based anomaly detection для BMC и IPMI.
Там, где антивирус не видит, остаются только знание и контроль на уровне платформы.
Заключение
Безопасность firmware — это вопрос не просто защиты компьютера, а защиты доверия к вычислительной платформе.UEFI и BMC — это не “низкоуровневая магия”, а полноценные операционные системы с сетевыми стеком, памятью и уязвимостями.
Понимание их архитектуры и инструментов анализа становится обязательным навыком для инженеров по безопасности в 2025 году.