CISA: versterk nu UEFI cybersecurity

CISA meldt; Unified Extensible Firmware Interface (UEFI) is een kritieke softwarestandaard in moderne computers, maar de meeste mensen hebben er nog nooit van gehoord. UEFI is essentieel voor de meeste computers; het vervangt het oude BIOS-formaat en dient als interface tussen hardware en besturingssystemen. Aanvallers hebben UEFI-implementatiefouten uitgebuit om aan persistentie te winnen – dat wil zeggen, de mogelijkheid om toegang te behouden tot een gecompromitteerd systeem ondanks systeemresets en defensieve acties. Op basis van recente incidentreacties op UEFI-malware zoals BlackLotus , lijken de cyberbeveiligingsgemeenschap en UEFI-ontwikkelaars nog steeds in de leermodus te zijn. In het bijzonder hebben UEFI-ontwikkelaars voor veilig opstarten niet allemaal openbare sleutelinfrastructuur (PKI)-praktijken geïmplementeerd die patchdistributie mogelijk maken (het Linux-ecosysteemvoert het goed uit).

De Cybersecurity and Infrastructure Security Agency (CISA) deelt deze informatie met de gemeenschap over de uitdagingen bij het reageren op UEFI-aanvallen om oplossingen aan te sturen die waarde zullen bieden aan systeemeigenaren die zullen profiteren van UEFI-firmware die correct kan worden bijgewerkt.

UEFI-software is een belangrijk onderdeel

UEFI is de dominante softwarestandaard voor firmware. Firmware is de software die de fysieke computermachines beheert waar al het andere van afhangt. Wanneer u op een aan/uit-knop drukt, brengt UEFI u van een ingewikkelde steen van levenloos silicium naar uw besturingssysteem. Het besturingssysteem doet dan het werk van de computer: je aanmelden, een draadloze router zijn, een game spelen of een industriële robot aansturen. UEFI-software beheert ook de verschillende computermachines (dwz processor, harde schijf, grafische kaart, USB-poorten, Wi-Fi-antenne, enz.) zodat het besturingssysteem ze coherent kan laten functioneren.

UEFI is een kritisch aanvalsoppervlak

Aanvallers hebben een duidelijk waardevoorstel voor het aanvallen van UEFI-software. UEFI is een compilatie van verschillende componenten (beveiligings- en platforminitialisatieprogramma's, stuurprogramma's, bootloaders, energiebeheerinterface, enz.), dus wat aanvallers bereiken, hangt af van welke fase en welk element van UEFI ze kunnen ondermijnen. Maar bij elke aanval hoort een vorm van doorzettingsvermogen.

UEFI-ondermijning kan schadelijke software de mogelijkheid bieden om door te blijven gaan

• Een systeemherstart, zoals BlackLotus doet – de malware overleeft elementaire verdedigingsacties zoals het uit- en weer inschakelen van het apparaat.
• Een herinstallatie van het besturingssysteem — De meeste praktijken voor incidentrespons behandelen een opnieuw geïnstalleerd besturingssysteem als een schoon apparaat. Malware die na herinstallatie blijft bestaan, kan deze standaardprocedure voor incidentrespons omzeilen.
• Een gedeeltelijke vervanging van een fysiek onderdeel — Een gecompromitteerd onderdeel in het moederbord of een beschadigde PCI-persistente flashopslag zou bijvoorbeeld blijven bestaan ​​door de fysieke harde schijf te vervangen. Een apparaat dat met dit niveau van hardnekkige malware is geïnfecteerd, moet in principe worden weggegooid in plaats van gerepareerd.

Dit zijn slechts enkele voorbeelden van de persistentie die een UEFI-compromis een aanvaller biedt. Meer hardnekkige malware leidt tot grotere problemen en hogere kosten voor het verwijderen van een aanvaller van de systemen van een organisatie.

Veilig door ontwerp en volwassenheid van PSIRT: de reactie van de UEFI-gemeenschap is belangrijk

Naarmate we onze reacties op UEFI-incidenten ontwikkelen en de beveiliging door ontwerp in de UEFI-gemeenschap versterken, moeten we ernaar streven een omgeving te creëren waarin de dreiging van de tegenstander die zich op UEFI richt, aanzienlijk wordt verminderd. Het pad naar succes omvat meerdere belanghebbenden in de toeleveringsketen die hun PSIRT- activiteiten (Product Security Incident Response Team) volwassen maken met de nadruk op tijdig beheer van kwetsbaarheden , openbaarmaking en reactie. Volwassen PSIRT-activiteiten vereisen integratie tussen het PSIRT, het UEFI-softwareontwikkelingsteam, het kwaliteitsborgingstestteam en het softwareontwikkelingsteam van het updatedistributiekanaal. Hoewel deze integratiepraktijken goed ingeburgerd zijn voor traditionele softwarekwetsbaarheden, zouden bedreigingen zoals BlackLotus veel routinematiger zijn als ze zouden worden geïntegreerd door de UEFI-gemeenschap.

UEFI-kwetsbaarheidsreactie, inclusief tijdige en effectieve updatemechanismen met standaard PKI, moet worden ontworpen in UEFI-software-engineering. Specifiek binnen UEFI-community-organisaties moeten leidinggevenden en leiders ondersteuning en middelen bieden aan PSIRT's, zodat ze effectief kwetsbaarheidsbeheer kunnen uitvoeren.

Hoe kunnen we de UEFI-cyberbeveiliging verbeteren?

Secure by Design en PSIRT Maturity werken samen om een ​​holistische security engineering-oplossing te versterken, die meer is dan alleen veilige code. Een holistische oplossing voor beveiligingstechniek omvat mensen en een operationeel mechanisme voor de feedbackloop.

BlackLotus maakt gebruik van een storing in de distributie van beveiligde updates - een probleem op het snijvlak van Secure by Design en PSIRT-volwassenheid. BlackLotus kan een bestand terugdraaien naar een kwetsbare versie en het vervolgens misbruiken, waardoor het updatedistributiekanaal voor UEFI-updates op Windows niet veerkrachtig of veilig genoeg is. Op 9 mei 2023 heeft Microsoft richtlijnen vrijgegeven voor het handmatig voorkomen van terugdraaien naar een kwetsbare bestandsversie. Microsoft heeft ook plannen vrijgegeven om de intrekking begin 2024 te automatiseren, wat een stap in de goede richting is. We blijven echter met Microsoft werken aan een implementatie van Secure by Default-updatedistributie. BlackLotus benadrukt het belang van standaard PKI-gebruik bij het veilig ondertekenen van opstartbestanden. Er zijn andere wegen die de hele UEFI-gemeenschap parallel moet volgen:

• Systeemeigenaren zouden UEFI-componenten moeten kunnen controleren, beheren en bijwerken, net als elke andere software die wordt aangeschaft, inclusief softwaremateriaallijsten . AMI heeft een goede start voorgesteld .
• Operationele teams mogen verwachten dat ze gebeurtenislogboeken kunnen verzamelen, analyseren en beantwoorden die UEFI-gerelateerde activiteiten identificeren (bijv. wijzigingen, updates, toevoegen/verwijderen van componenten) met behulp van UEFI native watchdog en rapportagemogelijkheden die worden doorgegeven aan het besturingssysteem of eindpuntdetectie en responshulpmiddelen, indien van toepassing.
• Ontwikkelaars van UEFI-componenten moeten veilige ontwikkelomgevingen gebruiken en best practices voor softwareontwikkeling toepassen, net als elke andere software.
• De gemeenschap van UEFI-leveranciers moet universeel ononderbroken en betrouwbare updatemogelijkheden toepassen om ervoor te zorgen dat updates van UEFI-componenten niet belastend zijn voor operationele gemeenschappen en eindgebruikers. Sleutels die kwetsbare en bijgewerkte opstartbestanden ondertekenen, hoeven bijvoorbeeld niet handmatig te worden ingetrokken of uitgesloten door systeemeigenaren.
• Nu het UEFI Security Response Team (USRT) leiding blijft geven, moet de UEFI-gemeenschap de betrokkenheid bij gemeenschappen, zoals FIRST , verbreden om de acceptatie van best practices voor PSIRT-operaties uit te breiden.

Voor meer details over elk van deze paden, heeft het Software Engineering Institute aan de Carnegie Mellon University een belangrijke diepere duik in hun publicatie Securing UEFI: An Underpinning Technology for Computing ; dit materiaal is gebaseerd op werk gefinancierd en ondersteund door CISA met CMU. Ook heeft de National Security Agency aanvullende mitigatierichtlijnen voor systeembeheerders gepubliceerd, BlackLotus Mitigation Guide .

Tegenstanders hebben aangetoond dat ze al weten hoe ze UEFI-componenten moeten benutten voor persistentie, en ze zullen alleen maar beter worden door te oefenen. CISA moedigt de UEFI-gemeenschap aan om alle in deze blog besproken opties krachtig na te streven. En het werk moet vandaag beginnen.