Language
CISA: attenzione al boot loader dannoso

Notizia

CasaCasa / Notizia / CISA: attenzione al boot loader dannoso
search
NOTIZIE RECENTI

Oct 08, 2023

Il 2023 è sulla buona strada per diventare l’anno più caldo mai registrato

Jun 01, 2024

6 consigli per il trasporto di escavatori cingolati di grandi dimensioni

Feb 17, 2024

La polizia di Aceh arresta quattro cercatori d'oro illegali nel distretto di Pidie

Jul 24, 2023

Una coalizione guidata da Nucor pubblica lo standard globale dell’acciaio per misurare e segnalare le emissioni di gas serra

Feb 03, 2024

Uno sguardo ai Philadelphia Phillies dopo 35 partite della stagione

INVIA LA TUA RICHIESTA
INVIA

Aug 17, 2023

CISA: attenzione al boot loader dannoso

AGGIORNATO 11:55 EDT / 7 AGOSTO 2023 di David Strom La US Cybersecurity and Infrastructure Security Agency ha lanciato un invito all'azione per rafforzare la sicurezza di un pezzo poco conosciuto ma importante di

AGGIORNATO 11:55 EDT / 07 AGOSTO 2023

di David Strom

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha lanciato un invito all’azione per rafforzare la sicurezza di un software poco conosciuto ma importante che può essere trovato in ogni computer.

Chiamato Unified Extensible Firmware Interface o UEFI, viene eseguito all'avvio e controlla il funzionamento del computer, carica i driver del dispositivo, i controlli dell'interfaccia di gestione dell'alimentazione e altre interfacce dell'applicazione. La CISA ha dichiarato il 3 agosto di temere che molti aggressori si siano concentrati sull'UEFI per compromettere un sistema e inserire malware per controllarne le operazioni ed evitare il rilevamento.

Un esempio di ciò sono gli exploit BlackLotus, che più recentemente sono stati documentati da Microsoft Security ad aprile e dalla National Security Agency degli Stati Uniti a maggio. Il documento includeva modi per identificare indizi della presenza di un malware basato su UEFI, come una data recente del file del boot loader o una voce di registro, chiavi di registro di Windows modificate (nella foto sotto) o un particolare comportamento della rete.

Questi attacchi basati su UEFI sono più insidiosi, perché possono attivare o disattivare tutti i tipi di meccanismi di sicurezza del sistema operativo prima che vengano effettivamente caricati dal sistema operativo. Non aiutando le cose, UEFI è ora presente su centinaia di milioni di computer.

L'avvertimento della CISA è piuttosto pessimista, affermando che i ricercatori e gli sviluppatori di sicurezza informatica "sono ancora in modalità di apprendimento" su come rispondere agli attacchi UEFI e su come proteggere meglio questo particolare software. "UEFI è lo standard software dominante per gestire i macchinari informatici fisici da cui dipende tutto il resto", si legge nel post sul blog. E il suo compromesso continua a essere un problema.

Anche il malware UEFI rappresenta un problema perché può persistere dopo il riavvio del sistema, la reinstallazione del sistema operativo o persino la sostituzione di un particolare componente fisico nel computer. Ad esempio, BlackLotus inserisce un vecchio boot loader di Windows, disabilita la funzionalità di integrità della memoria, disabilita BitLocker e ripristina una recente patch di sicurezza su una versione più vulnerabile.

Si tratta di un sacco di cose brutte a cui cercare di rimediare, ed è uno dei motivi per cui CISA raccomanda che qualsiasi PC infetto venga distrutto anziché riparato. È anche uno dei motivi per cui gli attacchi UEFI sono bersagli preziosi: un utente malintenzionato può sia nascondersi che operare per lunghi periodi di tempo senza doversi preoccupare del riavvio del sistema o di una patch di sistema.

Nel corso degli anni, gli sviluppatori UEFI hanno sviluppato misure difensive per contrastare le infezioni da malware e il post sul blog di CISA ne menziona due: l'utilizzo di principi di sicurezza fin dalla progettazione e l'impiego di misure di risposta agli incidenti più mature. Tuttavia, questi non sono universalmente implementati.

Lo sviluppatore UEFI AMI ha proposto un modo per impedire questo rollback delle patch menzionato sopra lo scorso autunno, ma ha una distribuzione discontinua. Esistono anche architetture di chip di riferimento che includono schemi rigorosi di gestione della memoria, ma i ricercatori sostengono che questi schemi devono ancora essere studiati e verificati. Esistono altri sforzi per stabilire enclavi hardware sicure, ma nessuno di questi sforzi estende la sicurezza ai processi UEFI in modo significativo.

Parte del problema è che la catena di fornitura UEFI è una complessa rete di sviluppatori e dipendenze. Il PC tipico può avere più di 50 moduli UEFI diversi e centinaia di driver di dispositivo provenienti da decine di fornitori di software che hanno la propria raccolta di sviluppatori diversi.

Tutta questa complessità rende difficile rintracciare le versioni attuali del software e determinare se qualcosa è stato compromesso da malintenzionati. A peggiorare le cose, ci si aspetta che anche parti dell’UEFI “accettino input non attendibili dall’utente o dalla rete”.

Le linee guida di Microsoft e NSA contengono raccomandazioni su come le aziende possono proteggersi meglio, incluso l'aggiornamento di tutti i supporti di ripristino di Windows e il mantenimento del passo con le varie patch del sistema operativo. E Vijay Sarvepalli del Software Engineering Institute della Carnegie Mellon University ha scritto un articolo che descrive in dettaglio il problema UEFI insieme a un lungo elenco di miglioramenti apportati agli sviluppatori e ai processi di sicurezza.