Некоторые материнские платы содержат дыры, позволяющие установить руткит

Некоторые материнские платы содержат дыры, позволяющие установить руткит

Некоторые материнские платы содержат дыры, позволяющие установить руткит

Алекс Матросов (Alex Matrosov), исследователь из Cylance, обнаружил несколько уязвимостей в материнских платах некоторых производителей, внедривших прошивку Intel UEFI BIOS в свои продукты. Эти бреши позволяют обойти защиту BIOS (например, Intel Boot Guard и Intel BIOS) и установить руткит.

В общей сложности Матросов обнаружил шесть уязвимостей в четырех материнских платах, которые он тестировал:

  • ASUS Vivo Mini - CVE-2017-11315
  • Lenovo ThinkCentre systems - CVE-2017-3753
  • MSI Cubi2 - CVE-2017-11312 and CVE-2017-11316
  • Gigabyte BRIX series - CVE-2017-11313 and CVE-2017-11314

Тестированные исследователем материнские платы были на базе AMI Aptio UEFI BIOS, популярного пакета прошивки BIOS UEFI, также используемого другими OEM-производителями материнских плат, такими как MSI, Asus, Acer, Dell, HP и ASRock.

«Некоторые производители не поддерживают защиту, предлагаемую современным оборудованием, что делает их легкими мишенями для злоумышленников, поскольку у них нет активной защиты памяти на аппаратном уровне», - объяснил Матросов.

Матросов говорит, что злоумышленник может использовать эти уязвимости для повышения привилегий, обхода защиты BIOS и установки руткитов в современной операционной системе, например, в Windows 10.

Вчера Александр Ермолов, эксперт Embedi, опубликовал новое исследование, основанное на первоначальной работе Матросова. В нем эксперту удается обойти систему защиты Intel Boot Guard на материнской плате Gigabyte GA-H170-D3H, что доказывает наличие серьезно проблемы безопасности.

Однако Матросов утверждает, что есть и положительный момент - производители материнских плат, в том числе AMI, выпустили обновления прошивки BIOS UEFI для устранения обнаруженных им недостатков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сеть дискаунтеров Доброцен парализована атакой

Сеть магазинов-дискаунтеров «Доброцен» столкнулась с масштабным сбоем из-за кибератаки. Атака парализовала работу всех внутренних систем: не запускаются рабочие места сотрудников, не работает система приёмки товара, недоступен официальный сайт. Работа магазинов нарушена в нескольких регионах страны.

Как сообщает источник РИА «Европейско-Азиатские Новости» (ЕАН), проблемы начались ещё 30 июня. Сеть «Доброцен» представлена в Екатеринбурге, Москве, Санкт-Петербурге, Самаре, Крыму и на новых территориях.

В настоящий момент компьютеры сотрудников не включаются, система логистики частично недоступна, сайт компании также остаётся вне доступа.

По оценке источников издания, злоумышленники могли воспользоваться уязвимостью в одной из ИТ-систем. Предположительно, атаку могла организовать не самая квалифицированная группировка, возможно — хактивисты. Мотивом могло послужить присутствие «Доброцена» в Крыму и на новых территориях.

Среди других возможных причин инцидента называют недобросовестную конкуренцию. Согласно статистике за второй квартал 2025 года, число атак с подобным мотивом выросло на 25% в годовом выражении. Хотя розничная торговля не входит в число отраслей, наиболее подверженных таким атакам, источники ЕАН отмечают, что в сегменте дискаунтеров конкуренция особенно высока.

«Для „Доброцена“ заказы через сайт никогда не были основным каналом продаж — компания только начала развивать это направление. Большинство покупателей вряд ли заметят недоступность сайта. Кассы работают, значит, магазины открыты. Возможны перебои с поставками отдельных товарных групп из-за сбоев в распределительных центрах, но это может не затронуть все регионы», — отметил источник ЕАН.

Это уже не первый инцидент за последнюю неделю. 28 июля атака затронула «Аэрофлот», а также нарушилась работа онлайн-сервисов аптечных сетей «Столички» и «Неофарм». 29 июля в отдельных регионах были закрыты торговые точки из-за неработоспособности систем. Также произошёл сбой на сайте и в приложении «Почты России», но он был кратковременным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru