A agência de segurança cibernética do governo dos EUA, CISA, está chamando a atenção para superfícies de ataque pouco pesquisadas em UEFI, alertando que o padrão de firmware dominante apresenta um alvo suculento para hackers mal-intencionados.
“UEFI é uma superfície crítica de ataque. Os invasores têm uma proposta de valor clara para direcionar o software UEFI”, disse a agência em um apelo à ação escrito pelo consultor técnico da CISA, Jonathan Spring, e pela diretora de gerenciamento de vulnerabilidades, Sandra Radesky.
Observando que o código UEFI representa uma compilação de vários componentes (segurança e inicializadores de plataforma, drivers, gerenciadores de inicialização, interface de gerenciamento de energia etc.), a agência alertou que os defeitos de segurança expõem os sistemas de computador a ataques furtivos que mantêm a persistência.
“O que os invasores conseguem depende de qual fase e qual elemento da UEFI eles são capazes de subverter. Mas todo ataque envolve algum tipo de persistência”, CISA disse. “À medida que desenvolvemos nossas respostas aos incidentes de UEFI e fortalecemos o design seguro na comunidade UEFI, devemos nos esforçar para criar um ambiente em que a ameaça do adversário visando UEFI seja significativamente reduzida.”
A agência governamental usou o exemplo do bootkit BlackLotus para chamar a atenção para as principais lacunas na forma como as camadas abaixo do sistema operacional são protegidas.
“Com base nas respostas recentes a incidentes de malware UEFI, como o BlackLotus, a comunidade de segurança cibernética e os desenvolvedores UEFI parecem ainda estar em modo de aprendizado”, disse a CISA, observando que o BlackLotus explora uma falha na distribuição segura de atualizações – um problema na interseção do Secure by Maturidade de design e PSIRT.
Embora a Microsoft tenha enviado orientação sobre como mitigar manualmente o vetor de ataque, mas a agência disse que “continuará a trabalhar com a Microsoft para uma implementação de distribuição de atualização segura por padrão”.
A agência também recomenda que:
- Os proprietários do sistema devem ser capazes de auditar, gerenciar e atualizar componentes UEFI como qualquer outro software que está sendo adquirido, inclusive com lista de materiais de software. AMI tem sugerido um bom começo.
- As equipes operacionais devem poder coletar, analisar e responder aos logs de eventos que identificam atividades relacionadas à UEFI (por exemplo, alterações, atualizações, adicionar/remover componentes) usando o watchdog nativo da UEFI e os recursos de relatório retransmitidos para o sistema operacional ou detecção de endpoint e ferramentas de resposta, conforme apropriado.
- Os desenvolvedores de componentes UEFI devem usar ambientes de desenvolvimento seguros e adotar as melhores práticas de desenvolvimento de software, assim como qualquer outro software.
- A comunidade de fornecedores UEFI deve adotar universalmente recursos de atualização ininterruptos e confiáveis para garantir que as atualizações de componentes UEFI não sejam onerosas para as comunidades operacionais e usuários finais. Por exemplo, as chaves que assinam arquivos de inicialização vulneráveis e atualizados não devem ser revogadas ou excluídas manualmente pelos proprietários do sistema.
- Com o Equipe de Resposta de Segurança UEFI (USRT) continuando a fornecer liderança, a comunidade UEFI deve ampliar o envolvimento em comunidades, como PRIMEIROpara expandir a adoção de melhores práticas para operações PSIRT.
Em março passado, um projeto de relatório conjunto emitido pela liderança do Departamento de Segurança Interna (DHS) e do Departamento de Comércio dos EUA disse que o firmware apresentava “uma superfície de ataque grande e em constante expansão” que precisava de atenção urgente.
“Proteger a camada de firmware é frequentemente negligenciado, mas é um ponto único de falha nos dispositivos e é um dos métodos mais furtivos em que um invasor pode comprometer dispositivos em grande escala.”
“Os invasores podem subverter a visibilidade do sistema operacional e do hipervisor e contornar a maioria dos sistemas de segurança, ocultar e persistir em redes e dispositivos por longos períodos de tempo durante a realização de operações de ataque e infligir danos irrevogáveis”, disseram as duas agências após uma avaliação de um ano do cadeias de suprimentos para infraestrutura crítica de TI implantada nos Estados Unidos.
“O firmware também pode ser um alvo lucrativo com um custo de ataque relativamente baixo. Nos últimos anos, os hackers têm cada vez mais direcionado o firmware para lançar ataques devastadores.”
