Yönetişim ve Risk Yönetimi , Yama Yönetimi
Ajans, Birleşik Genişletilebilir Ürün Yazılımı Arabiriminin Daha Güvenli Olması Gerektiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
4 Ağustos 2023
ABD federal hükümeti, bilgisayar üreticilerini, geçen yıl tespit edilen güçlü bir bootkit’in kalıcı kötü amaçlı yazılım bulaşmalarına ilişkin artan endişelere yol açmasının ardından cihazları başlatan ürün yazılımı mimarisinin güvenliğini artırmaya çağırıyor.
Ayrıca bakınız: CISO’ların Gerileme Dönemini Aşması İçin 10 Kemer Sıkma Önerisi
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Perşembe günü Birleşik Genişletilebilir Ürün Yazılımı Arabiriminin arkasındaki standart geliştiriciler için yama dağıtımını, kodlamayı ve günlük tutma uygulamalarını iyileştirmeleri için bir eylem çağrısı yayınladı.
UEFI, UEFI Forumu tarafından yayınlanan, bir bilgisayar açıldığında donanımın başlatılması için bir endüstri standardıdır. Bir sözcü, forumda yorum olmadığını söyledi.
Çağrı, bilgisayar korsanlığı forumlarında 5.000 dolara satılan güçlü bir önyükleme seti olan BlackLotus olarak bilinen kötü amaçlı yazılımın keşfedilmesinden sonra geldi ve Ulusal Güvenlik Ajansı’nın Haziran ayında Windows sistem yöneticilerini tehdidi konusunda uyarmasına neden oldu.
BlackLotus, bilgisayar korsanlarının Windows işletim sistemi kontrolü ele geçirmeden önce gerçekleşen önyükleme işlemine bulaşmasını engellemeyi amaçlayan Microsoft güvenlik özelliklerini atlar. Kötü amaçlı yazılım UEFI yazılımına bulaştığında, sistem üzerinde tam kontrol sahibi olabilir. Önyükleyici bulaşmalarını tespit etmek zordur ve BlackLotus bulaşmış herhangi bir bilgisayarın tamamen yeniden görüntülenmesi ve muhtemelen atılması gerekir.
Microsoft, BlackLotus’u engellemek için birden fazla yama yayınladı, ancak NSA, yama yapmanın makineleri kötü amaçlı yazılıma karşı güçlendirmenin yalnızca ilk adımı olduğunu söyledi (bkz: NSA, BlackLotus Kötü Amaçlı Yazılımı için Düzeltme Kılavuzu Yayınladı).
Kötü amaçlı yazılım olan Martin Smolár, “UEFI önyükleme takımları, işletim sistemi önyükleme işlemi üzerinde tam denetime sahip olan ve bu nedenle çeşitli işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilen ve kendi çekirdek modu veya kullanıcı modu yüklerini erken işletim sistemi başlatma aşamalarında konuşlandırabilen çok güçlü tehditlerdir” dedi. Eset analisti, 1 Mart tarihli bir raporda BlackLotus’un maskesini düşürüyor. “Bu onların çok gizli ve yüksek ayrıcalıklarla çalışmasına izin veriyor.”
Microsoft, BlackLotus’un güvenlik korumalarını atlamak için yararlandığı savunmasız bir önyükleyici sürümünü iptal etmek için düzeltmeleri aşamalı olarak yapıyor, ancak kullanıma sunmanın gelecek yılın ilk çeyreğine kadar tamamlanmasını beklemediğini söylüyor. Microsoft, ölçülen hızın bir nedeninin, yedekleme görüntüleri gibi eski önyüklenebilir ortamların kullanılamaz hale gelmesi olduğunu söyledi.
CISA ayrıca tüm UEFI geliştiricilerinin güncellemeler için ayrılmış bir ortak anahtar altyapısı uygulamasını önerir. Bir CISA yetkilisi Dark Reading’e, Microsoft’un birden fazla dosyayı imzalamak için tek bir anahtar kullanmasının, Windows hesaplamalarını BlackLotus’a karşı yamalamayı çok daha zor bir süreç haline getirdiğini söyledi.
Ajans ayrıca, UEFI bileşenleri için bir yazılım malzeme listesi ve yöneticilerin olay günlüklerini toplaması için daha iyi yerel UEFI yeteneği önerir.