BIOS UEFI: vittime degli attacchi dei virus Ransomware.

Nell’ ultimo periodo, un particolare fenomeno è diventato una vera e propria minaccia su scala planetaria: il ransomware. Sempre più diffuso e aggressivo, questa tipologia di malware tiene, ormai, sotto controllo il sistema e tutti i dati più personali degli utenti.
Il soggetto principale degli attacchi è il sistema operativo, ma ora, gli sviluppatori di ransomware, hanno preso di mira, in determinati casi, anche il bootloader. E per questo, l’ ultima novità, in questo periodo, sembra essere addirittura l’ infezione del BIOS UEFI.

E’ stato presentato, da un gruppo di esperti, provenienti dal team di Cylance, un ransomware “sperimentale”, utilizzato e sviluppato soltanto in laboratorio, con capacità di aggredire il BIOS UEFI, l’ interfaccia firmware sul quale ormai si poggiano i sistemi operativi più moderni.
Per ora, gli esperti si sono focalizzati soltanto su due schede madri , quelle utilizzate nei mini PC BRIX dal produttore taiwanese Gigabye. Ovviamente, non è da escludere che lo stesso procedimento possa essere usato anche altrove.

Gli autori di questo ransomware creato per solo scopo di studio, hanno spiegato, nel caso delle due schede prese in esame, esattamente i modelli BG-BXi7-5775 e GB-BSi7H-6500 della serie BRIX, sono state utilizzate due vulnerabilità già presenti nel firmware. Queste ultime, consentono a una determinata applicazione di ottenere privilegi più elevati e quindi inserire un codice malevolo all’ interno della System Management Mode (SMM), ovvero una modalità operativa speciale della CPU, che permette l’ azione del caricamento di istruzioni a livello basso.

Le vulnerabilità dei BIOS UEFI

Purtroppo, le vulnerabilità di UEFI non capitano in maniera molto rara, e proprio per questo possono essere utilizzate dai peggiori criminali informatici per l’ installazione del malware in maniera persistente. Così facendo, il sistema operativo sarà di nuovo infettato e anche dopo la formattazione e la reinstallazione da zero.

Sono già una realtà, i rootkit che agiscono a livello UEFI, e sono degli strumenti che vengono utilizzati durante le operazioni di sorveglianza e di cyberspionaggio. Anche la società italiana Hacking Team, sviluppatrice di un particolare software del monitoraggio a distanza, aveva, tempo fa, nel proprio catalogo, un rootkit UEFI, acquistato da forze di polizia ed enti governativi.

I ricercatori del team di Cylance, hanno addirittura dimostrato in quale modo, anche gli sviluppatori di virus ransomware, possono avere vantaggio a causa delle lacune del moderni BIOS UEFI.
Pare non sia molto semplice anche la rimozione del virus, dato che questo implicherebbe il flashing di una versione nuova del BIOS.

Gigabyte promette di risolvere questo problema di sicurezza nel corso dell’ attuale mese, nel modello del mini PC GB-BSi7H-6500, non risolverà invece, le falle presenti nel modello GB-BXi7-5775 poiché ormai terminato.

C’ è però una nota positiva: gli attacchi ransomware non possono avere successo su tutti i modelli di BIOS UEFI perché sono tantissimi i modelli di schede madri in commercio.