Language
CISA: Остерегайтесь вредоносного загрузчика

Новости

ДомДом / Новости / CISA: Остерегайтесь вредоносного загрузчика
search
СВЕЖИЕ НОВОСТИ

Oct 08, 2023

2023 год может стать самым жарким за всю историю наблюдений

Jun 01, 2024

6 советов по транспортировке больших гусеничных экскаваторов

Feb 17, 2024

Полиция Ачеха арестовала четырех нелегальных золотодобытчиков в районе Пиди

Jul 24, 2023

Коалиция под руководством Nucor публикует Глобальный стандарт стали для измерения и отчетности по выбросам парниковых газов

Feb 03, 2024

Взгляд на «Филадельфию Филлис» после 35 игр сезона

ОТПРАВИТЬ ЗАПРОС
ПРЕДСТАВЛЯТЬ НА РАССМОТРЕНИЕ

Aug 17, 2023

CISA: Остерегайтесь вредоносного загрузчика

ОБНОВЛЕНО 11:55 ПО ВОСТОЧНОМУ ВОСТОЧНОМУ ВРЕМЕНИ / 7 АВГУСТА 2023 ГОДА, Дэвид Стром Агентство кибербезопасности и безопасности инфраструктуры США опубликовало призыв к действию по усилению безопасности малоизвестной, но важной части

ОБНОВЛЕНО 11:55 ПО ВОСТОЧНОМУ ВРЕМЕНИ / 7 АВГУСТА 2023 ГОДА

Дэвид Стром

Агентство кибербезопасности и безопасности инфраструктуры США выступило с призывом к действию по повышению безопасности малоизвестного, но важного программного обеспечения, которое можно найти на каждом компьютере.

Названный унифицированным расширяемым интерфейсом прошивки или UEFI, он запускается во время загрузки и контролирует работу компьютера, загружает драйверы устройств, элементы управления интерфейсом управления питанием и другие интерфейсы приложений. CISA заявила 3 ​​августа, что обеспокоена тем, что многие злоумышленники сосредоточили свое внимание на UEFI, чтобы скомпрометировать систему и внедрить вредоносное ПО, чтобы контролировать ее работу и избежать обнаружения.

Одним из примеров этого являются эксплойты BlackLotus, которые совсем недавно были задокументированы Microsoft Security в апреле и Агентством национальной безопасности США в мае. В документе описаны способы выявления признаков присутствия вредоносного ПО на основе UEFI, такие как недавняя дата файла загрузчика или запись журнала, измененные ключи реестра Windows (на рисунке ниже) или определенное поведение сети.

Эти атаки на основе UEFI более коварны, поскольку они могут активировать или деактивировать все виды механизмов безопасности операционной системы до их фактической загрузки ОС. Не помогая делу, UEFI теперь встречается на сотнях миллионов компьютеров.

Предупреждение CISA было несколько пессимистичным: исследователи и разработчики кибербезопасности «все еще находятся в режиме обучения» тому, как реагировать на атаки UEFI и как лучше защитить это конкретное программное обеспечение. «UEFI — это доминирующий стандарт программного обеспечения для управления физическим вычислительным оборудованием, от которого зависит все остальное», — говорится в сообщении в блоге. И его компромисс продолжает оставаться проблемой.

Вредоносное ПО UEFI также представляет собой проблему, поскольку оно может сохраняться после перезагрузки системы, переустановки ОС или даже замены определенного физического компонента компьютера. Например, BlackLotus устанавливает более старый загрузчик Windows, отключает функцию целостности памяти, отключает BitLocker и откатывает недавнее исправление безопасности до более уязвимой версии.

Это много плохого, что нужно попытаться исправить, и это одна из причин, почему CISA рекомендует уничтожать любой зараженный компьютер, а не восстанавливать его. Это также одна из причин, по которой атаки UEFI являются ценными целями: злоумышленник может как скрытно работать, так и действовать в течение длительных периодов времени, не беспокоясь о перезагрузке системы или обновлении системы.

За прошедшие годы разработчики UEFI разработали защитные меры для предотвращения заражения вредоносным ПО, и в сообщении блога CISA упоминаются две: использование принципов безопасности и применение более зрелых мер реагирования на инциденты. Однако они не применяются повсеместно.

Разработчик UEFI AMI предложил способ предотвращения отката исправлений, упомянутый выше, прошлой осенью, но его развертывание было неравномерным. Существуют также эталонные архитектуры чипов, которые включают в себя строгие схемы управления памятью, но исследователи утверждают, что эти схемы еще необходимо изучить и проверить. Существуют и другие попытки создать безопасные аппаратные анклавы, но ни одна из этих попыток не обеспечивает сколько-нибудь существенного расширения безопасности процессов UEFI.

Частично проблема заключается в том, что цепочка поставок UEFI представляет собой сложную сеть разработчиков и зависимостей. Типичный ПК может иметь более 50 различных модулей UEFI и сотни драйверов устройств от десятков поставщиков программного обеспечения, имеющих собственную коллекцию разных разработчиков.

Вся эта сложность затрудняет отслеживание текущих версий программного обеспечения и определение того, было ли что-то скомпрометировано злоумышленниками. Что еще хуже, части UEFI «также должны принимать ненадежные входные данные от пользователя или сети».

В рекомендациях Microsoft и АНБ содержатся рекомендации о том, как предприятия могут лучше защитить себя, включая обновление всех носителей для восстановления Windows и использование различных исправлений для ОС. А Виджей Сарвепалли из Института разработки программного обеспечения Университета Карнеги-Меллон написал статью, подробно описывающую проблему UEFI, а также длинный список улучшений процессов разработки и безопасности.