CIH病毒让所有的Windows用户感受到了恐怖, 如果您已经忘却的话, 那么新的BIOS漏洞有可能让您再次回归“肉鸡”的行列。 那个时候, 您就是格式化硬盘都无济于事了。
CIH中毒后的修复过程
x86处理器爆出安全漏洞不久, 研究人员们又找到了另一种通过BIOS发起攻击的方法, 任何系统都无法幸免, 而且这次利用的并非安全漏洞, 所以更加防不胜防。
Core Security Technologies安全公司的Anibal Sacco和Alfredo Ortega在CanSecWest安全会议上展示了他们的最新发现:将一小段代码植入BIOS, 轻松就获得了整台电脑的全部控制权, 即使重启系统甚至刷新BIOS都无法排除, 且与操作系统无关, 不管是Windows、Mac OS X、FreeBSD抑或VMware Player虚拟机都难逃一劫。
Ortega说:“一切都非常简单。 我们可以随心所欲地在任何地方插入代码。 我们没有利用任何安全漏洞。 我不确定你们是否真的理解这样做的后果。 我们可以在每次重启后重新感染BIOS。 ” Sacco和Ortega强调说, 为了发起攻击, 要么获取Root权限, 要么亲手操作机器, 所以并不能随意使用, 只不过一旦中招, 后果就是毁灭性的。
这俩人目前正在制作一个BIOS Rootkit来执行攻击。 Ortega声称:“我们可以通过修补驱动得到可完整工作的Rootkit。 我们甚至还有一些代码, 可以禁用或者移除杀毒软件。 ”
Next Generation Security Software安全公司的Rootkit技术专家John Heasman此前曾提出过利用PCI扩展卡的存储空间在PC上植入Rootkit的方法, 并在2007年的黑帽大会上利用可刷新ROM展示了其可行性, 此外他还找到了绕过Windows NT核心、创建虚假堆栈指针的方法。
他在那时接受采访时说:“能做到那一点就Game Over了, 因为我们已经可以在(最核心的)Ring 0级别权限上执行32位代码。 ”
随着操作系统和应用程序安全性的增强, 发起攻击的难度也在不断加大, 研究人员们就转而把目光投向了底层软件和硬件级别, 而一旦在这方面发现问题, 因为其通用性将很难防范。 ■
