Uefi hp: Как зайти в BIOS/UEFI на ноутбуках HP

Содержание

Еще немного реверс-инжиниринга UEFI PEI-модулей на другом полезном примере / Хабр

И снова здравствуйте, уважаемые хабрачитатели.

В рамках борьбы за возможность модификации UEFI на ноутбуках HP пришлось отломать еще одну защиту, на этот раз более современную. Видимо, отдел разработки прошивок в HP догадался, что предыдущая защита была не ахти, и потому они решили радикально её улучшить, поэтому метод обхода защиты DXE-тома из предыдущей статьи перестал работать, и мне опять понадобилось вооружаться дизассемблером, разрабатывать конвертер из TE в PE и отвечать на те же вопросы: где находится цифровая подпись, кто именно ее проверяет и как сделать так, чтобы проверка всегда заканчивалась успехом.

Если вас интересуют ответы и описание процесса их поиска — прошу под кат.

Краткая предыстория

Защита, о взломе которой пойдет речь в этом тексте, была введена HP около полутора лет назад, и (насколько мне известно) до сих пор считалась надежной. Пользователи ноутбуков HP с защищенным ей UEFI периодически наведывались на форум bios-mods.com в надежде на помощь в избавлении от белых списков оборудования или открытии скрытых настроек UEFI Setup, но с той же периодичностью получали ответ — защита стойкая и ничего не сделать. В начале лета 2014 года одному из администраторов bios-mods это надоело и он решил взять инициативу по взлому в свои руки. Процесс пошел, но крайне медленно, и результата публичного до сих пор не появилось, а он очень нужен ремонтникам, которые рады бы ставить на эти ноутбуки другие процессоры/видеокарты/модемы, но не могут, т.к. для их правильной работы нужна модификация DXE-драйверов, а после нее прошивка не стартует. В итоге мне эта ерунда надоела и я решил отломать защиту самостоятельно, благо, как выяснилось, ничего радикально сложнее предыдущей защиты HP придумать не смогли.

Ликбеза не будет

Если вам непонятно, что тут происходит, прочтите предыдущую статью, там имеется краткое введение в курс дела и список используемых инструментов.

Что дано и что требуется найти

Имеется ноутбук HP, который на любое изменение в DXE-томе отзывается сначала перезагрузкой почти сразу после включения, а затем впадает в бесконечный цикл, моргая при этом лампочками на клавиатуре. Также имеется дамп его прошивки и добрые ребята-ремонтники, готовые потратить время на то, чтобы проверить очередную измененную прошивку на работоспособность.

Конечная цель — прошивка должна работать после модификаций.

Поиски

Снова открываем прошивку в UEFITool и смотрим на панель Messages. Благодаря опыту, полученному в прошлой статье, утилита теперь умеет отображать нестандартные данные в дереве (т.е. не теперь не обязательно распаковывать весь DXE-том, что добраться до них) и сохраняет их при пересборке тома:

Как и в прошлый раз, подозрительные данные оказываются в самом конце DXE-тома, но теперь можно достать их непосредственно из дерева, что и делаем, получаем файл key.bin, который затем открываем в Hex-редакторе:

И снова перед глазами предстает неизвестный кусок данных размером 100h (похожий на RSA2048 public key), но теперь у него есть сигнатура — $HSS. Как я уже писал, данные такого рода могут быть найдены либо по сигнатуре, либо по смещению внутри тома, либо по абсолютному адресу (с учетом того, что последний байт микросхемы SPI-flash оказывается при старте по адресу FFFFFFFFh). Проверим сначала первый вариант, воспользовавшись поиском текста в UEFITool:

Находим 4 вхождения искомой строки, одно из которых мы уже посмотрели (то, которое внутри Non-UEFI data), нужно разобраться с остальными. Первое оказывается в DXE-драйвере по имени BiosImageInterface, но он сам находится в томе, который призван проверять, так что наличие там основной проверки весьма маловероятно. Если в других местах не найдем — надо будет к нему вернуться.

Последние же два вхождения указывают две копии одного и того же PEI-модуля, первая из которых находится в упакованной копии PEI-тома (она может использоваться для автоматического восстановления поврежденного PEI-тома), а другая — в «настоящем» PEI-томе. Вот и наш подозреваемый, все указывает на то, что целостность проверяет именно он, и нужно достать его содержимое в файл hss. bin для дальнейшего анализа.

В прошлый раз на этом месте мы загрузили полученный файл в IDA и начали анализировать его, но в данном случае так смогут сделать только обладатели IDA 6.7 и выше, т.к. именно в 6.7 появилась нативная поддержка формата Terse Executable, в котором и хранится наш PEI-модуль. Формат этот разработан авторами спецификации UEFI PI для экономии места в кэше процессора, по факту это PE32 с сильно обрезанным заголовком, от которого оставили только жизненно необходимые для правильной загрузки образа поля. Более того, большая часть производителей использует в фазе PEI крайне примитивный загрузчик исполняемых файлов, который не поддерживает relocation’ы, и потому его базовый адрес должен совпадать с физическим адресом. Все это замечательно, конечно, но нам нужен не непонятный TE, а понятный PE32, поэтому пришлось написать конвертер из TE в PE, который пытается восстановить заголовок PE-файла по тем данным, которые получилось найти в TE-файле. Утилита писалась за полчаса и под конкретный файл, так что за правильность конвертирования любого наперед заданного TE-образа поручиться не могу.

Вот теперь у нас есть файл pe.bin и можно открывать его в IDA и вести анализ. В этот раз пойдем немного другим путем и будем начинать не с точки входа, а с того места, где встречается сигнатура $HSS. Идем в Search -> Text… (или нажимаем Alt+T), вводим $HSS, ставим галку Find all occurences и… ничего не находим. Думаем немного и понимаем, что у нас LittleEndian-машина, и $HSS при загрузке в регистр будет выглядеть как SSH$ или 53534824h. Ищем этот вариант и вуаля, одно вхождение:

Переходим двойным щелчком на сообщении и попадаем вот сюда:

А вот и проверка на то, что по адресу из EBX лежит 53534824h, и если оно там действительно лежит — в переменную на стеке сохраняется EBX + 20h, т.е. как раз адрес первого байта ключа, а если не лежит — к EBX прибавляется 10h и проверяется снова. Видно также, что из другой ветки кода в ту же переменную может попасть значение FFF3DF00h, которое является физическим адресом первого байта ключа. Можно это проверить, для чего достаточно от 100000000h отнять FFF3DF00h и отступить полученные C2100h байт от конца файла — как и предполагалось, мы оказываемся точно на начале блока с ключом. Будет ли ключ найден по сигнатуре или абсолютному адресу — зависит от BootMode. Если текущий режим 20h, т.е. BOOT_IN_RECOVERY_MODE — ключ будет найден по абсолютному адресу, иначе — по сигнатуре.

Смотрим дальше:

А дальше происходит вызов функции из какого-то специфичного для HP PPI, которая и осуществляет проверку. Если эта функция вернула 0 (т.е. EFI_SUCCESS), то мы уходим с этого экрана вниз на return, если же проверка не удалась, все опять зависит от BootMode, в случае BOOT_IN_RECOVERY_MODE происходит вызов функции из другого PPI (которая, я подозреваю, постарается восстановить DXE-том из Recovery-образа). Затем уже независимо от BootMode вызывается еще одна функция из второго PPI, после чего в стек кладутся 6 и 0CF9h и выполняется вызов коротенькой функции, в нашем случае выглядящей так:

mov al, 6
mov dx, 0CF9h
out dx, al

Если вдруг не узнали в гриме — это самый распространенный ныне способ hard reset’а через IO-порты. А если ресет вдруг не случился, случится бесконечный цикл, который сразу за ним.

Ну вот, с причинами ресета разобрались, теперь надо его обойти, причем так, чтобы вернуть EFI_SUCCESS в EAX из той функции, в которой это все происходит. На мой взгляд, самый простой способ достичь желаемого — поменять первый test eax, eax на xor eax, eax, в результате и в EAX появится 0, и JGE сработает в 100% случаев, а ресет станет мертвым кодом.

UPD по многочисленным просьбам из ЛС: чтобы быстро найти место для патча, нужно достать из файла с GUID 86D70125-BAA3-4296-A62F-602BEBBB9081 исполняемую секцию (она может быть как TE, так и PE, я встречал оба варианта), открыть ее в Hex-редакторе, найти строку $HSS и найти первое вхождение паттерна 85 C0 после $HSS — с очень высокой вероятностью это и есть место для патча. Если же нет — придется искать его самостоятельно.

Тестирование и заключение

Сказано-сделано, патчим 85 C0 -> 31 C0, собираем прошивку (не забыв, что у нас две копии этого файла и заменить нужно обе) и отправляем нашим ремонтникам на тестирование. Через 5 минут приходит сообщение: «запускается и работает, большое спасибо». Вот теперь можно снова садиться и писать статью про крутые вендорские защиты, которые сначала держатся полтора года, а потом снимаются за полтора часа.

Спасибо за внимание, удачных вам прошивок и модификаций.

P.S. В качестве бонуса, фиговенькое фото запущенного ноутбука с замененным Boot Logo, хранящимся в DXE-томе. Показывает, что защита действительно снята.

HP ProBook 6460b BIOS Update (UEFI) v.2.2.0.0

На этой странице вы можете бесплатно скачать HP ProBook 6460b BIOS Update (UEFI) v.2.2.0.0

Добавить HP ProBook 6460b BIOS Update (UEFI) 2.2.0.0 в список ваших драйверов
HP ProBook 6460b manuals

Категория:Notebooks

Производитель:HP

Оборудование:HP ProBook 6460b

Тип программы:BIOS

Название:BIOS Update (UEFI)

Версия:2.2.0.0

Размер файла:1.14Mb

Тип архива:MSZIP

Дата выхода:24 Oct 2011

Система:BIOS

Status:Free

Загрузок:292

Описание:BIOS Update (UEFI) for HP ProBook 6460b Notebook PC

Правовая информация:Все програмное обеспечение, размещённое на Driver. ru является бесплатным. Все названия и торговые марки принадлежат их владельцам.

Внимание:Некоторые программы получены из непроверенных источников. Мы не гарантируем их совместимость и работоспособность. Всегда проверяйте загруженные файлы с помощью антивирусных программ. Мы не несём никакой ответственности за возможные потери, возникшие в результате установки загруженных программ. Загрузка файла с Driver.ru обозначает вашу информированность об этом и согласие с данными условиями.

HP Помощник по поддержке | HP® Support

HP Support Assistant для ПК

HP Support Assistant входит в состав новых настольных ПК и ноутбуков HP. Вы можете установить его на ПК других производителей для быстрого доступа к ресурсам поддержки и инструментам для принтеров и ПК HP. Щелкните значок на панели задач, чтобы запустить HP Support Assistant, или загрузите прямо сейчас.

Загрузить HP Support Assistant 9

Требуется Windows 10 RS4 или выше.

Если во время установки HP Support Assistant вы получили сообщение о несовместимости операционной системы, загрузите и установите устаревшую версию 9.0003

HP Support Assistant для ПК

Щелкните значок на панели задач, чтобы запустить HP Support Assistant, или загрузите прямо сейчас.

HP Support Assistant для Chrome OS

Установите HP Support Assistant для удобного поиска и устранения неисправностей на вашем устройстве с Chrome OS. Это бесплатное приложение запускается из браузера Chrome и может быть установлено на большинстве устройств под управлением Chrome OS M9. 9 или позже.

Чтобы добавить эту службу, запустите с устройства под управлением Chrome OS M99 или более поздней версии.

Убедитесь, что вы используете браузер Chrome
Перейти к расширению HPSA Chrome OS в Интернет-магазине Chrome
Загрузите расширение HP Support Assistant
Когда вы будете перенаправлены обратно на эту страницу, запустите приложение с помощью кнопки ниже

HP Support Assistant Mobile

Нужна помощь в пути? HP Support Assistant Mobile предоставляет многие из тех же замечательных функций, что и версия для Windows, у вас на ладони.

Загрузите сейчас для iOS и Android.

HP Support Assistant для ПК

Загрузить HP Support Assistant 9

Требуется Windows 10 RS4 или выше.

Если вы получили сообщение о несовместимости операционной системы во время установки HP Support Assistant, загрузите и установите устаревшую версию

HP Support Assistant Mobile

Загрузите сейчас для iOS и Android.

Функции HP Support Assistant включают:

Автоматические исправления и средства устранения неполадок

Решайте многие распространенные проблемы с помощью средств устранения неполадок и автоматических исправлений HP Support Assistant. Если проблема не может быть решена с помощью этих инструментов, HP Support Assistant может помочь вам найти дополнительные ресурсы поддержки, характерные для вашего устройства.

Индивидуальная поддержка

Управляйте подключенными устройствами HP при создании нового идентификатора или входе с существующими учетными данными. Нужно отслеживать новые сообщения или обновления для компьютера или принтера друга или члена семьи? Просто добавьте их устройство в свой список, и вы будете автоматически уведомлены. Вы также можете просмотреть доступные и подписанные услуги HP. ²

Автоматические обновления

Повысьте производительность и надежность своих ПК и принтеров с помощью автоматических обновлений микропрограмм и драйверов. Вы можете настроить параметры для автоматической установки обновлений или уведомления о появлении обновлений.

Помощь в любое время с HP Virtual Agent

Нужна помощь в устранении неполадок? Просто спроси! Виртуальный агент HP может помочь устранить неполадки с вашим ПК или принтером в любое время дня и ночи. ³

Для HP Support Assistant 8 требуется .NET Framework 4.5 или более поздней версии.
Для просмотра подписанных служб HP SmartFriend требуется вход в систему.
Виртуальный агент HP доступен в некоторых странах.

HP исправляет 16 ошибок встроенного ПО UEFI, позволяющих скрытно заражать вредоносные программы

Компания HP сообщила о 16 серьезных уязвимостях встроенного ПО UEFI, которые могут позволить злоумышленникам заразить устройства вредоносными программами, которые получают высокие привилегии и остаются незаметными для установленного программного обеспечения безопасности.

Эти уязвимости затрагивают несколько моделей HP, включая ноутбуки, настольные компьютеры, системы PoS и пограничные вычислительные узлы.

Ошибки были обнаружены исследователями из Binarly, той же группы, которая опубликовала еще один набор ошибок UEFI, затрагивающих 25 поставщиков компьютеров еще в феврале.

Через несколько дней после этого основатель Binarly представил на OffensiveCon пять новых недостатков UEFI, затрагивающих HP, и HP выпустила соответствующее обновление безопасности для их устранения.

Сегодня Binarly, HP и CERT/CC согласовали раскрытие полного набора недавно обнаруженных уязвимостей, включая 11 новых уязвимостей, влияющих на прошивку HPE UEFI.

Эти уязвимости разделены на три группы в зависимости от используемого компонента/функции:

Выноска SMM (повышение привилегий)

CVE-2021-39298: выноска, ведущая к повышению привилегий (CVSS — 7.5)
CVE-2021-23932: выноска, ведущая к повышению привилегий (CVSS — 8.2)
CVE-2021-23933: выноска, ведущая к повышению привилегий (CVSS — 8.2)

SSM (модуль управления системой)

CVE-2021-23924: переполнение буфера кучи, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23925: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23926: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23927: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23928: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8. 2)
CVE-2021-23929: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23930: переполнение буфера кучи, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23931: переполнение буфера кучи, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-23934: повреждение памяти, приводящее к выполнению произвольного кода (CVSS — 8.2)

DXE (среда выполнения драйвера)

CVE-2021-39297: переполнение буфера стека, приводящее к выполнению произвольного кода (CVSS — 7.7)
CVE-2021-39299: переполнение буфера стека, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-39300: переполнение стека, приводящее к выполнению произвольного кода (CVSS — 8.2)
CVE-2021-39301: переполнение стека, приводящее к выполнению произвольного кода (CVSS — 7.7)

Поскольку и DXE, и SSM активируются до запуска операционной системы, любые уязвимости, используемые в этих компонентах, превышают привилегии ОС ядра и обходят все средства защиты.

Воздействие уязвимостей UEFI
Источник: Binarly

Кроме того, способный злоумышленник может потенциально использовать их для внедрения вредоносного программного обеспечения с постоянной защитой, которая выдерживает обновления ОС и обходит UEFI Secure Boot, Intel Boot Guard и решения безопасности виртуализации.

«Активная эксплуатация всех обнаруженных уязвимостей не может быть обнаружена системами мониторинга целостности прошивки из-за ограничений измерения Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств не обнаружат уязвимые системы из-за конструктивных ограничений видимости среды выполнения прошивки», — говорится в отчете Binarly об уязвимостях.

«К сожалению, большинство проблем в обнаруженных нами уязвимостях — это повторяющиеся сбои, некоторые из которых связаны со сложностью кодовой базы или устаревшими компонентами, которым уделяется меньше внимания со стороны безопасности, но которые по-прежнему широко используются в полевых условиях».

Uefi hp: Как зайти в BIOS/UEFI на ноутбуках HP

Еще немного реверс-инжиниринга UEFI PEI-модулей на другом полезном примере / Хабр

Краткая предыстория

Ликбеза не будет

Что дано и что требуется найти

Поиски

Тестирование и заключение

HP ProBook 6460b BIOS Update (UEFI) v.2.2.0.0

Похожие файлы:

HP Помощник по поддержке | HP® Support

HP исправляет 16 ошибок встроенного ПО UEFI, позволяющих скрытно заражать вредоносные программы

Читайте также:

Uefi hp: Как зайти в BIOS/UEFI на ноутбуках HP

Еще немного реверс-инжиниринга UEFI PEI-модулей на другом полезном примере / Хабр

Краткая предыстория

Ликбеза не будет

Что дано и что требуется найти

Поиски

Тестирование и заключение

HP ProBook 6460b BIOS Update (UEFI) v.2.2.0.0

Похожие файлы:

HP Помощник по поддержке | HP® Support

HP исправляет 16 ошибок встроенного ПО UEFI, позволяющих скрытно заражать вредоносные программы

Читайте также:

Ru linuxmint: LinuxMint.com.ru — Linux Mint Россия

Видеокарты средние: Какую видеокарту выбрать в 2022 году?

Как настроить вай фай на ноутбуке виндовс 7 самсунг: Как включить Вай-Фай на ноутбуке Самсунг