Twee Argentijnse onderzoekers hebben een manier ontdekt om een rootkit in de BIOS te injecteren, zodat het systeem ook na het formatteren en zelfs vervangen van de harde schijf besmet blijft. Ook het resetten of flashen van de BIOS biedt geen soelaas, aangezien Alfredo Ortega en Anibal Sacco nog steeds in staat zijn om de code weer te laten laden, en zo volledige controle over het systeem te krijgen. De demo die de twee tijdens de CanSecWest conferentie lieten zien, werkte vlekkeloos op een Windows systeem, een computer met OpenBSD en een machine met de VMware Player.
"Het was erg makkelijk. We kunnen de code overal plaatsen waar we willen", zegt Ortega. De Argentijnen gebruiken voor hun aanval geen kwetsbaarheid in de BIOS, maar hebben wel root of fysieke toegang tot de machine nodig. “Ik weet niet of je de impact hiervan beseft, maar we kunnen de BIOS bij elke reboot weer infecteren.” De twee zeggen een driver op zo’n manier te kunnen patchen, dat die een volledige rootkit op het systeem loslaat en zelfs een virusscanner kan uitschakelen of verwijderen. Is een systeem eenmaal besmet, bijvoorbeeld via andere malware waar het op meelift, dan kan de computer voor de rest van zijn leven geïnfecteerd blijven.
De aanval is te voorkomen door de jumpers op het moederbord zo in te stellen dat de chips die de systeeminstructies bevatten niet zijn te overschrijven. Daarnaast zouden hardware oplossingen, zoals het Trusted Computing platform, de integriteit van de BIOS kunnen controleren en in het geval van wijzigingen alarm slaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.