Опрос
|
реклама
Быстрый переход
Huawei и ещё 12 китайских компаний представили UBIOS — альтернативу UEFI
23.10.2025 [18:24],
Павел Котов
Китай продемонстрировал очередное достижение на пути обретения независимости от США и их технологических компаний: Международный компьютерный консорциум (GCC) представил стандарт UBIOS — китайскую альтернативу UEFI и BIOS. 
Источник изображения: Christin Hume / unsplash.com BIOS (Basic Input/Output System) — это прошивка материнской платы, выступающая посредником между процессором и операционной системой. Она сообщает ОС об объёме оперативной памяти, количестве установленных накопителей, о скорости работы процессора и других важных параметрах. За последние годы UEFI (Unified Extensible Firmware Interface) практически вытеснил BIOS — новая технология разрабатывается многопрофильной рабочей группой, в которой доминируют Intel и AMD как разработчики процессоров на архитектуре x86. UBIOS (Unified Basic Input/Output System) — стандарт прошивки, призванный стать заменой BIOS и UEFI. Его разработали 13 китайских технологических компаний и организаций, в том числе Huawei, CESI (Китайский институт стандартизации электроники), Byosoft и Kunlun Tech. UBIOS построен на основе оригинальной спецификации BIOS без учёта того, что появилось в UEFI — этот стандарт и его эталонную реализацию TianoCore EDK II от Intel китайские инженеры сочли чрезвычайно раздутыми. В отличие от UEFI стандарт UBIOS предлагает расширенную поддержку чиплетов и прочих гетерогенных вычислительных конфигураций, в том числе позволяет устанавливать разные процессоры на одну материнскую плату — UEFI такие сценарии поддерживает с трудом, а часто не поддерживает вовсе. Улучшена также поддержка отличных от x86 архитектур, в том числе Arm, RISC-V и разработанной в Китае LoongArch. Более подробно о UBIOS организация GCC расскажет на Всемирной компьютерной конференции, которая пройдёт в Шэньчжэне в ноябре. Петя вернулся: обнаружен опасный вирус-вымогатель HybridPetya, который обходит UEFI Secure Boot
13.09.2025 [19:28],
Павел Котов
Эксперты компании ESET обнаружили новый вирус-вымогатель, которому присвоили название HybridPetya — он напоминает уже известные варианты Petya/NotPetya, но при этом обладает способностью обходить механизм безопасной загрузки в системах с UEFI, эксплуатируя уже исправленную в этом году уязвимость. 
Источник изображений: welivesecurity.com Образцы HybridPetya были загружены на платформу VirusTotal в феврале 2025 года. Вирус устанавливает вредоносное приложение в системный раздел EFI. Установщик вносит изменения в загрузчик UEFI, чтобы внедрить буткит. Это вызывает «синий экран смерти» (BSoD) — сбой в системе гарантирует, что после перезагрузки буткит автоматически запустится, и начнётся процесс шифрования. Вирус включает в себя два компонента: установщик и буткит, то есть вредонос, который исполняется ещё до загрузки операционной системы. Буткит отвечает за загрузку конфигурации и проверяет статус шифрования, который может принимать три значения:
Если значение равно «0», буткит меняет его на «1» и шифрует файл «\EFI\Microsoft\Boot\verify» алгоритмом Salsa20, используя указанные в конфигурации ключ и одноразовый код. Он также создаёт файл «\EFI\Microsoft\Boot\counter» в системном разделе EFI, после чего шифрует файл Master File Table (MFT), содержащий метаданные всех файлов в разделе формата NTFS, а затем и остальные данные всех разделов NTFS; файл «counter» используется для отслеживания уже зашифрованных кластеров диска. В это время пользователю выводится имитация экрана CHKDSK — у жертвы создаётся иллюзия, что система исправляет ошибки на диске. 
Имитация экрана CHKDSK Если буткит обнаруживает, что диск зашифрован, то есть статус шифрования равен «1», он выводит жертве сообщение с требованием выкупа — $1000 в биткоинах на указанный адрес кошелька. Сейчас кошелёк пуст, хотя с февраля по май 2025 года на него поступили $183,32. На том же экране есть поле для ввода ключа, который жертва покупает у оператора вируса. Если его ввести, буткит пытается расшифровать файл «\EFI\Microsoft\Boot\verify»; если указан правильный ключ, статусу шифрования присваивается значение «2», и начинается расшифровка; на первом этапе считывается содержимое файла «\EFI\Microsoft\Boot\counter». Когда количество расшифрованных кластеров достигает значения из файла «counter», процесс расшифровки останавливается; при расшифровке файла MFT показывается текущий статус всего процесса. На этапе расшифровки также из созданных ранее резервных копий восстанавливаются легитимные загрузчики: «\EFI\Boot\bootx64.efi» и «\EFI\Microsoft\Boot\bootmgfw.efi». По окончании процесса жертве предлагают перезагрузить компьютер. 
Схема работы HybridPetya Некоторые варианты HybridPetya эксплуатируют уязвимость CVE-2024-7344 (рейтинг 6,7 из 10) в приложении Reloader UEFI (файл «reloader.efi»), позволяющую запускать удалённое выполнение кода в обход безопасной загрузки. Для маскировки буткит переименовывает файл приложения в «bootmgfw.efi» и загружает файл «cloak.dat» с зашифрованным XOR кодом буткита. Когда во время загрузки запускается переименованный в «bootmgfw.efi» файл, он ищет «cloak.dat» в системном разделе EFI и «загружает из него встроенное приложение UEFI крайне небезопасным способом, полностью игнорируя все проверки целостности, тем самым обходя UEFI Secure Boot», отметили в ESET. Microsoft закрыла эту уязвимость в январе 2025 года. В отличие от варианта NotPetya, который просто уничтожает данные, HybridPetya позволяет их восстановить: заплатив выкуп, жертва получает от оператора уникальный ключ, на основе которого формируется ключ для расшифровки данных. Свидетельств того, что HybridPetya использовался на практике, экспертам ESET обнаружить не удалось — есть версия, что это исследовательский проект, не имеющий цели заработка на противоправной деятельности. Тем не менее, его появление свидетельствует, что обойти UEFI Secure Boot не просто возможно — такие средства распространяются и становятся всё более привлекательными как для исследователей, так и для злоумышленников, заключили в ESET. В материнских платах Gigabyte нашли уязвимости, позволяющие обойти безопасную загрузку
14.07.2025 [21:58],
Николай Хижняк
Несколько сотен моделей материнских плат Gigabyte используют прошивку UEFI с уязвимостями, которые позволяют внедрять вредоносное программное обеспечение (буткиты), невидимое для антивирусов и операционной системы, способное пережить даже переустановку последней. 
Источник изображения: BleepingComputer Обнаруженные уязвимости позволяют злоумышленникам с правами локального или удалённого администратора выполнять произвольный код в режиме управления системой (SMM) — среде, изолированной от операционной системы и обладающей расширенными привилегиями. Механизмы, запускающие код ниже уровня ОС, имеют низкоуровневый доступ к оборудованию и инициируются во время загрузки. Благодаря этому вредоносное ПО в этих средах может обходить традиционные средства защиты. Прошивка UEFI (Unified Extensible Firmware Interface) считается более безопасной благодаря функции безопасной загрузки (Secure Boot), которая посредством криптографической проверки гарантирует использование надёжного кода при старте системы. Однако вредоносное ПО уровня UEFI, такое как буткиты (BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax), может запускать вредоносный код при каждой загрузке. В реализациях прошивки UEFI от Gigabyte присутствуют четыре уязвимости, обнаруженные исследователями компании Binarly, занимающейся цифровой безопасностью. Своими выводами специалисты поделились с Координационным центром CERT (CERT/CC) Университета Карнеги-Меллона. Первоначальным поставщиком прошивки является компания American Megatrends Inc. (AMI), которая устранила уязвимости после частного уведомления, но в некоторых сборках прошивок OEM (например, Gigabyte) эти исправления на тот момент реализованы не были. В реализациях прошивок Gigabyte компания Binarly обнаружила следующие уязвимости (все с высоким уровнем серьёзности — 8,2):
По подсчётам портала BleepingComputer, уязвимости затронули чуть более 240 моделей материнских плат, включая различные версии, модификации и региональные издания, с обновлениями прошивок, выпущенными между концом 2023 года и серединой августа 2024 года. Журналисты обратились к Binarly за уточнением, но в любом случае речь идёт о десятках моделей. Исследователи Binarly уведомили Координационный центр CERT/CC об этих уязвимостях 15 апреля, а Gigabyte подтвердила их наличие 12 июня. После этого, по данным CERT/CC, компания выпустила обновления прошивок. Однако OEM-производитель не опубликовал бюллетень безопасности по этим уязвимостям. По мнению основателя и генерального директора Binarly Алекса Матросова (Alex Matrosov), Gigabyte, скорее всего, ещё не выпустила полноценные исправления. Кроме того, многие из затронутых моделей уже сняты с производства, и их владельцам не стоит ожидать обновлений безопасности. «Поскольку все эти четыре уязвимости возникли в референсном коде AMI, компания AMI раскрыла их некоторое время назад, по-тихому сообщив информацию только платным клиентам в рамках соглашения о неразглашении (NDA). Это привело к серьёзным последствиям: производители годами оставляли платы уязвимыми и не выпускали обновлений. Похоже, Gigabyte до сих пор не опубликовала исправлений, а многие из затронутых плат достигли статуса окончания жизненного цикла, что означает, что они останутся с этими уязвимостями на неопределённый срок», — прокомментировал Алекс Матросов. Отмечается, что риск для обычных пользователей остаётся низким. Однако тем, кто работает в критически важных средах, рекомендуется воспользоваться сканером Risk Hunt от Binarly, который позволяет бесплатно определить наличие указанных четырёх уязвимостей. Ошибка в прошивке UEFI ставит под угрозу безопасную загрузку Windows, но уже вышло обновление
12.06.2025 [06:40],
Анжелла Марина
Исследователи из компании Binarly обнаружили опасную уязвимость в механизме безопасной загрузки (Secure Boot), которая позволяет злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы. Проблема, получившая идентификатор CVE-2025-3052, связана с подписанным UEFI-модулем, используемым для обновления BIOS. 
Источник изображения: Muha Ajjan / Unsplash Уязвимость затрагивает модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim (маленький, но важный компонент загрузочного процесса), уязвимый код может выполняться на огромном количестве компьютеров, отмечает HotHardware. Проблема возникает из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использует её содержимое как указатель памяти без проверки, позволяя атакующему получить контроль над памятью и полностью отключить протокол Secure Boot. Это открывает путь для скрытых буткитов (вредоносные программы, модифицирующие загрузочный сектор), которые работают на уровне прошивки и остаются невидимыми для антивирусов и систем мониторинга. 
Источник изображения: Binarly По данным Binarly, уязвимость затронула не только один модуль. Microsoft в ходе совместного исследования выявила как минимум 14 проблемных компонентов. Однако всё не так плохо, ибо уже вышло исправление в рамках июньского обновления Patch Tuesday 2025 года, которое включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей. Специалисты рекомендуют установить последние обновления Windows, поскольку именно через них осуществляется актуализация списка dbx. Без этого хакер, получивший административные права, может отключить Secure Boot и установить вредоносное ПО, удаление которого потребует полного форматирования диска и сброса параметров UEFI. Миллионы ПК на чипах Intel под угрозой взлома — в прошивке Phoenix UEFI обнаружена опасная уязвимость
25.06.2024 [10:07],
Павел Котов
В прошивках Phoenix UEFI присутствует уязвимость, которая затронула широкий спектр ПК, выпущенных крупнейшими производителями на широком ассортименте процессоров Intel разных поколений. Рекомендовано установить последнюю версию BIOS. 
Источник изображения: Thomas / pixabay.com Уязвимость CVE-2024-0762 обнаружена в прошивке Phoenix SecureCore UEFI экспертами по кибербезопасности компании Eclypsium на ноутбуках Lenovo ThinkPad X1 Carbon 7 поколения и X1 Yoga 4 поколения. Дальнейшее её изучение показало, что она затрагивает машины на широком спектре процессоров Intel, включая Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake и Tiger Lake — под ударом могут оказаться ПК производства Lenovo, Dell, Acer и HP. Уязвимость связана с ошибкой переполнения буфера в конфигурации Trusted Platform Module (TPM) — она позволяет злоумышленникам повышать привилегии и выполнять код в UEFI. Само наличие TPM для эксплуатации уязвимости не обязательно. Прошивка UEFI считается более безопасной из-за функции Secure Boot, которая поддерживается современными ОС, включая Windows, macOS и Linux. Но, пользуясь ошибками в её реализации, хакеры создают буткиты, такие как BlackLotus, CosmicStrand и MosaicAggressor — они срабатывают на ранних этапах загрузки UEFI и предоставляют потенциальным злоумышленникам низкоуровневый доступ к системе, обнаружить который чрезвычайно сложно. Lenovo начала выпуск обновлений прошивки для затронутых уязвимостью устройств. Пока обновления доступны не для всех моделей, но значительную часть ассортимента компания надеется охватить до конца года. Phoenix Technologies сообщила, что закрыла уязвимость в апреле, а в мае предала огласке информацию о ней. Выпущена утилита ReBarUEFI, которая позволит включить Resizable BAR на старых ПК
06.02.2024 [13:54],
Павел Котов
Утилита ReBarUEFI позволяет модифицировать прошивку UEFI на старых системах и разблокировать функции Intel Resizable BAR (Base Address Register) и AMD SAM (Smart Access Memory) — они открывают процессору доступ ко всему стеку памяти на видеокарте. Нативная поддержка этих функций есть у процессоров Intel Core начиная с 10-го поколения и AMD начиная с архитектуры Zen 3. 
Источник изображения: github.com Функция, позволяющая повышать производительность, включена в спецификацию шины PCI Express 2.0, а значит, в теории доступ к ней может быть и у ПК на более старых процессорах — главное, чтобы она поддерживалась видеокартой. Проверить это утверждение поможет бесплатная утилита ReBarUEFI с драйвером UEFI DXE для систем, не поддерживаемых официальными спецификациями. Соответствующий модуль внедряется в прошивку UEFI и запускается при каждой загрузке — он заменяет одну из функций в протоколе распределения ресурсов PCI (PreprocessController), проверяя оборудование на совместимость с Resizable BAR и SAM. Разработчик ReBarUEFI уверяет, что он успешно протестировал функцию на системе с процессором Intel Core i5-3470 (2012 год) и видеокартой AMD Sapphire Nitro+ RX 580 8 Гбайт (2017 год) — она позволила увеличить производительность в играх до 12 % при размере BAR в 2 Гбайт; а для корректной работы видеокарт Intel Arc функция Resizable BAR вообще необходима. По версии Tom's Hardware, утилита поддерживает также процессоры семейства Intel Sandy Bridge от 2011 года. На странице разработчика на GitHub представлен список совместимых материнских плат, владельцев которых просят откликнуться, подтвердить эту информацию и уточнить конкретные конфигурации оборудования. Большинство прошивок UEFI принимает неподписанные и исправленные модули даже при активной опции безопасной загрузки, поэтому запуск игр не должен вызывать никаких проблем. На некоторых видеокартах AMD Radeon прирост производительности в играх может достигать 24 %, но иногда возможно и, напротив, снижение частоты кадров. В драйверах видеокарт NVIDIA и AMD есть собственные профили для некоторых игр, позволяющие повысить производительность с Resizable BAR и SAM. |
© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
