UEFI – слабое звено: CISA предлагает изменить способ разработки ПО для защиты от буткита BlackLotus

Агентство по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) призывает усилить защиту механизмов обновления UEFI-прошивки (Unified Extensible Firmware Interface, UEFI) на фоне провала в борьбе с буткитом BlackLotus .

В своем блоге CISA призывает всю компьютерную индустрию применить подход «безопасность по умолчанию» для улучшения общей безопасности UEFI-прошивки, ответственной за процедуру загрузки системы. По словам агентства, безопасность по умолчанию означает, что разработчики ПО берут на себя ответственность за безопасность, включая пути обновления.

UEFI является популярной целью для атак, потому что вредоносный код, загруженный в прошивку, позволяет злоумышленнику добиться высокого уровня устойчивости в системе, поскольку код будет выполняться до запуска ОС или любого ПО безопасности. Такая процедура делает вредоносный код невидимым для большинства средств реагирования на инциденты и защиты на уровне ОС, а также устойчивым к перезагрузке системы.

UEFI-буткиты развёртываются в прошивке материнской платы и обеспечивают полный контроль над процессом загрузки операционной системы, что позволяет отключать механизмы безопасности на уровне ОС и развертывать произвольные полезные нагрузки с высокими привилегиями во время запуска системы.

Призыв CISA направлен на создание программного обеспечения и механизмов обновления, которые изначально устойчивы к угрозам. Проблемы, связанные с вредоносным ПО BlackLotus, демонстрируют трудности, которые могут возникнуть без более надежного механизма обновления.

«Любой покупатель системы должен быть уверен, что она безопасна по умолчанию и может обновляться безопасно», - подчеркнули в CISA.

CISA предлагает ряд способов улучшения кибербезопасности при обновлении UEFI, включая аудит, управление и обновление компонентов UEFI, аналогично любому другому ПО, а также использование безопасных сред разработки и лучших практик разработки программного обеспечения.

В апреле корпорация Microsoft выпустила руководство , которое поможет организациям проверить заражение корпоративных компьютеров BlackLotus через уязвимость CVE-2022-21894. Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.

А в июне АНБ опубликовало руководство по обнаружению и предотвращению заражения BlackLotus . Агентство порекомендовало владельцам инфраструктуры принять меры по усилению политик исполнения пользовательских программ и контролировать целостность загрузочного раздела.