Η CISA ζητά επείγουσα αναθεώρηση των μέτρων κυβερνοασφάλειας του UEFI

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) καλεί την βιομηχανία πληροφορικής να ενισχύσει τους μηχανισμούς ενημέρωσης της Ενοποιημένης Επεκτάσιμης Διασύνδεσης Υλικολογισμικού (UEFI) λόγω αυξανόμενων ανησυχιών για την ασφάλεια στον κυβερνοχώρο. Η CISA επισημαίνει ότι οι επιφάνειες επίθεσης του UEFI δεν έχουν ερευνηθεί σημαντικά και προτρέπει την βιομηχανία να υιοθετήσει μια προσέγγιση security by design για να ενισχύσει το συνολικό περιβάλλον ασφαλείας του UEFI.

Το UEFI, ένα κρίσιμο πρότυπο λογισμικού στη σύγχρονη πληροφορική, αντικαθιστά την παλαιότερη μορφή BIOS, ενεργώντας ως σύνδεσμος μεταξύ του υλικού και των διαφόρων λειτουργικών συστημάτων. Ωστόσο, οι hackers έχουν βρει τρόπους να εκμεταλλεύονται τα τρωτά σημεία της εφαρμογής UEFI, αποκτώντας την ικανότητα διατήρησης της πρόσβασης σε μια παραβιασμένη συσκευή παρά τις αμυντικές ενέργειες και τις επαναφορές συστήματος. Ένα τέτοιο παράδειγμα αυτής της αυξανόμενης απειλής είναι το κακόβουλο λογισμικό BlackLotus UEFI bootkit. Αυτός ο κακόβουλος κώδικας στοχεύει συχνά το αρχικό στάδιο λογισμικού της διαδικασίας εκκίνησης (boot process), καθιστώντας τον εξαιρετικά αποτελεσματικό και επίμονο. Η NSA (National Security Agency) έχει εκδώσει έναν οδηγό αντιμετώπισης του BlackLotus, που απευθύνεται κυρίως σε Διαχειριστές Συστημάτων.

Η πρόσφατη ανακοίνωση της CISA, από την άλλη πλευρά, απευθύνεται στους κατασκευαστές, προτρέποντάς τους να δώσουν προτεραιότητα στην ασφάλεια από τα πρώτα στάδια σχεδιασμού. «Με βάση τα πρόσφατα περιστατικά κακόβουλου λογισμικού σε UEFI όπως το BlackLotus, η κοινότητα της κυβερνοασφάλειας και οι προγραμματιστές του UEFI φαίνεται να βρίσκονται ακόμα σε περίοδο εκμάθησης», αναφέρει η CISA.

Η ανακοίνωση της CISA σημειώνει συγκεκριμένα ότι οι προγραμματιστές του UEFI δεν έχουν υιοθετήσει κατά το secure boot καθολικά πρακτικές Public Key Infrastructure (PKI) που διευκολύνουν την διανομή των patches. Η παραβίαση του UEFI θα μπορούσε να επιτρέψει στους εισβολείς να διατηρήσουν την παρουσία τους μέσω αρκετών μηχανισμών, καθιστώντας τις απειλές που εστιάζουν στο UEFI δύσκολο να ξεπεραστούν. “Όσο πιο επίμονο το κακόβουλο λογισμικό τόσο πιο αυξημένη η δυσκολία και το κόστος για την αφαίρεση ενός εισβολέα από τα συστήματα ενός οργανισμού”, δήλωσε η CISA.

Το BlackLotus, μπορεί να αξιοποιήσει ένα σφάλμα κατά την ασφαλή διανομή ενημερώσεων, επιτρέποντάς να επαναφέρει ένα αρχείο σε μια ευάλωτη έκδοση και στη συνέχεια να το εκμεταλλευτεί. Αυτή η ευπάθεια σημαίνει ότι το κανάλι διανομής ενημερώσεων (update distribution channel) UEFI στα Windows δεν είναι αρκετά ασφαλές.

Παρόλο που η Microsoft έχει κάνει βήματα προς τη βελτίωση αυτού παρέχοντας οδηγίες σχετικά με την αποτροπή επαναφοράς αρχείων σε ευάλωτες εκδόσεις manually, και έχει σχέδια να αυτοματοποιήσει την διαδικασία το 2024, η CISA πιστεύει ότι μπορούν να γίνουν περισσότερα για την ενίσχυση της ασφάλειας του UEFI και προτείνει μέτρα, όπως:

• Οι κάτοχοι συστημάτων να έχουν την ικανότητα να ελέγχουν, να διαχειρίζονται και να ενημερώνουν στοιχεία UEFI καθώς και προσθήκες ή αφαιρέσεις
• Οι ομάδες ανάπτυξης UEFI να μπορούν να συλλέγουν, να αναλύουν και να διαχειρίζονται τα logs που προσδιορίζουν τις δραστηριότητες του UEFI, συμπεριλαμβανομένου των αλλαγών και των ενημερώσεων καθώς και των προσθαφαιρέσεων διαφόρων components. Είναι επίσης σημαντικό οι προγραμματιστές να λειτουργούν σε ασφαλή περιβάλλοντα ανάπτυξης.
• Η κοινότητα κατασκευαστών UEFI θα πρέπει να διασφαλίζει την υιοθέτηση αξιόπιστων, αδιάλειπτων δυνατοτήτων ενημέρωσης, αποφεύγοντας τις προβληματικές.
• Για την ώρα, οι χρήστες δεν θα πρέπει να ανακαλούν ή να αποκλείουν manually κλειδιά υπογραφών που αφορούν ευάλωτα και ενημερωμένα boot files.