На фона на неуспеха, в който се превърна ограничаването на действието на бууткита BlackLotus, Агенцията за киберсигурност и инфраструктурна сигурност (CISA) призовава за подобряване на сигурността на механизмите за актуализация на Unified Extensible Firmware Interface (UEFI).
В публикация в блога си, публикувана днес, CISA призовава компютърната индустрия да възприеме подход за сигурност по проект, за да засили цялостната сигурност на UEFI, който е фърмуерът, отговорен за процедурата за зареждане на системата. Той се състои от няколко компонента – включително инициализатори за сигурност и платформа, драйвери, зареждащи програми и интерфейс за управление на захранването.
„Secure-by-design означава организациите, които проектират софтуера, да поемат отговорност за сигурността, което включва и пътищата за актуализация“, казва Джонатан Спринг, старши технически съветник в CISA, в ексклузивно интервю за Dark Reading.
UEFI е популярна повърхност за атаки, тъй като ако е заредена със злонамерен код, участниците в заплахите могат да постигнат високо ниво на устойчивост на системата, тъй като този код ще се стартира преди операционната система или какъвто и да е софтуер за сигурност. Това го прави невидим за повечето тактики за реагиране на инциденти и защити на ниво операционна система, както и неподатлив на рестартиране на системата. Спринг казва, че призивът за действие на CISA е искане за повсеместно стандартно движение за неутрализиране на заплахите за UEFI чрез създаване на софтуер и придружаващ го път за актуализация, който е по същество защитен.
„Всеки, който купува система, очаква тя да е сигурна по замисъл и да може да се актуализира по сигурен начин“, казва той. „Това е постоянна грижа.“
BlackLotus и продължаващата заплаха, свързана с този зловреден софтуер, са донякъде пример за проблемите, които могат да възникнат без по-сигурен механизъм за актуализация, добавя той.
BlackLotus, първият зловреден софтуер, който успешно заобикаля внедряването на UEFI Secure Boot на Microsoft, беше забелязан за продажба в Dark Web миналата есен. В момента защитата срещу него изисква ръчно прилагане на пачове, издадени от Microsoft през януари 2022 г. и май 2023 г.
Но това не е всичко: през юни АНС предупреди, че прилагането на настоящите кръпки за BlackLotus е „добро начало“, но не е достатъчно, за да се отстрани напълно проблемът. Това е така, защото Microsoft не е издала кръпки за отмяна на доверието в непоправените зареждащи устройства чрез базата данни Secure Boot Deny List Database (DBX), което дава възможност на лошите играчи просто да заменят напълно поправените зареждащи устройства с легитимни, но уязвими версии, което им позволява да изпълняват BlackLotus.
„BlackLotus се възползва от провал в безопасното разпространение на актуализации“, обяснява Спринг в публикацията на CISA. „BlackLotus може да върне файл до уязвима версия и след това да я използва, което прави канала за разпространение на актуализации за UEFI актуализации на Windows недостатъчно устойчив или сигурен.“
Във връзка с това Спринг също така казва, че ако Microsoft беше използвала по-сигурен по проект подход за инфраструктурата на публичния ключ (PKI) за UEFI заедно с автоматизирана система за актуализации, проблемът можеше вече да е отстранен.
Обикновено при управлението на PKI има един секретен ключ или сертификат, който се пази в „много голяма тайна“, докато други, междинни сертификати се използват за подписване на други файлове, които лесно се отменят в случай на проблем. В PKI на Windows обаче един ключ подписва голям брой файлове, така че отмяната му с цел намаляване на проблема с BlackLotus „би причинила много съпътстващи щети“ в други части на операционната система, казва той и добавя: „Инфраструктурата с публичен ключ не трябва да се подписва по този начин.“
Спринг отбелязва: „Ако механизмът за разпространение на актуализациите използваше подходяща PKI, вярвам, че тези актуализации щяха да се разпространяват по подразбиране и ключовете за уязвимите файлове щяха да бъдат премахнати по подразбиране и всичко щеше да е готово.“
В резултат на всичко това NSA препоръча на собствениците на инфраструктури да предприемат допълнителни ръчни стъпки за укрепване на своите системи, като например затягане на политиките за изпълними файлове на потребителите и наблюдение на целостта на стартовия дял. Междувременно Майкрософт очаква автоматизирана и цялостна поправка за BlackLotus някъде в началото на 2024 г.
„Ръчното смекчаване на последиците е доста трудно и не мисля, че всеки ще го направи“, казва Спринг. Ето защо CISA се надява да насърчи бъдеще, в което „тези ръчни поправки на сигурността не са норма“, казва той.
BlackLotus със сигурност подчертава пейзажа на заплахите в UEFI и може да се използва като тема за разговор, за да се насърчи разработването на по-сигурни системи в бъдеще, казва Спринг: „Никога няма лош момент да се посочи, че целият софтуер, който използваме, трябва да бъде сигурен по замисъл, че има някои начини, по които в момента не е, и да се насърчат хората да очакват и създават по-добри системи, така че всеки да има по-малък риск от дълготраен устойчив зловреден софтуер в системите си.“
За тази цел CISA очерта в публикацията си конкретика за това как стратегията за сигурност по проект, работеща в тандем със зрял екип за реагиране на инциденти, свързани със сигурността на продукта (PSIRT), може съвместно да подсили „цялостно инженерно решение за сигурност“.
Спринг цитира в блога по-задълбочено проучване на Института по софтуерно инженерство към университета Карнеги Мелън в публикацията си „Securing UEFI: An Underpinning Technology for Computing“ за допълнителна информация относно това как да се прилагат тези пътища.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.