SecurityLab.ru, портал в рунете по информационной безопасности, предупреждает о возможном появлении нового поколения вредоносных приложений, которые смогут сокрыть факт своего присутствия в системе и смогут «пережить» даже полную переустановку ОС, включая форматирование жесткого диска.
Что такое PCI-руткит?
PCI-руткит – это злонамеренной приложение, которое находится в дополнительной памяти PCI-устройств и может использоваться злоумышленником для выполнения произвольных действий на целевой системе.
Какова область воздействия PCI-руткитов?
Злоумышленник может создать злонамеренное приложение, сохранить его в дополнительной памяти видеокарты или сетевого адаптера и таким образом скрыть его присутствие от антивирусных программ и обеспечить уверенность в том, что после полной переустановки системы руткит все еще будет в ней.
Злоумышленник может доставить подобный руткит на систему, используя уязвимости в операционной системе, программном обеспечении или путем обмана целевого пользователя. После того как руткит окажется в системе, его будет весьма сложно обнаружить и обезвредить. В чем причина уязвимости?
Уязвимость существует из-за того, что злоумышленник может с помощью средств операционной системы записать в дополнительную память устройств произвольный код и выполнить его.
Какие системы уязвимы?
Уязвимы все системы, которые используют современные PCI-устройства. Исключение составляют компьютеры, использующие Trusted Platform Module (TPM), который защищает процесс загрузки системы.
Что может сделать злоумышленник, воспользовавшись этой уязвимостью?
Воспользовавшись уязвимостью, злоумышленник может получить полный контроль над системой.
Каким образом злоумышленник может воспользоваться уязвимостью?
Для доставки руткита на систему злоумышленник может воспользоваться существующими уязвимостями в операционной системе или программном обеспечении жертвы, или же с помощью средств социальной инженерии (ссылка на сайте, электронное письмо). Затем злоумышленник размещает руткит в дополнительной памяти PCI-устройств.
Какие системы в первую очередь подвергаются риску?
В первую очередь риску воздействия подвергаются рабочие станции и серверы терминалов. Серверы подвергаются повышенному риску в тех случаях, когда пользователи, обладающие достаточными административными полномочиями, получают возможность зарегистрироваться на серверах и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.
Где можно более подробно узнать о уязвимости и способах ее устранения?
Подробное описание можно прочитать здесь.