Siber Güvenlik ve Altyapı Güvenliği Ajansı, kurumsal sistemler genelinde UEFI Güvenli Önyükleme yapılandırmalarının yönetilmesine ilişkin kritik kılavuz yayınladı.
Kapsamlı danışma belgesi, kuruluşları ürün yazılımı tabanlı tehditlere ve kalıcı kötü amaçlı yazılım saldırılarına maruz bırakan önyükleme düzeyindeki güvenlik açıklarıyla ilgili artan endişeleri ele alıyor.
PKFail, BlackLotus ve BootHole dahil son zamanlardaki güvenlik açıkları, kurumsal ortamlar genelinde Güvenli Önyükleme uygulamalarında önemli boşluklar olduğunu ortaya koydu.
Bu olaylar, cihazların sıklıkla yanlış yapılandırılmış veya devre dışı bırakılmış Güvenli Önyükleme ayarlarıyla gönderildiğini, sistemlerin önyükleme kitlerine ve önyükleme yazılımının yetkisiz yürütülmesine karşı savunmasız kaldığını ortaya çıkardı.
Kılavuz, yöneticilerin Güvenli Önyükleme korumasının yalnızca Güvenilir Platform Modülleri veya tam disk şifrelemesi gibi diğer güvenlik teknolojileri etkinleştirildiği için etkin olduğunu varsayamayacaklarını vurguluyor.
Güvenli Önyükleme, sistem başlatma sırasında hangi ikili dosyaların yürütüleceğini kontrol etmek için sertifikaları ve karmaları kullanan, kritik bir önyükleme zamanı uygulama mekanizması olarak hizmet eder.
Teknoloji dört temel veri deposunu korur: Yetkilendirme için Platform Anahtarı, güvenilir sertifika yönetimi için Anahtar Değişim Anahtarları, onaylanmış ikili dosyalar için İzin Verilenler listesi veritabanı ve iptal edilen veya güvenilmeyen yazılımlar için Hariç Tutma veritabanı.
Güvenli Önyükleme yapılandırmasını ihmal eden kuruluşlar, geleneksel uç nokta güvenlik görünürlüğünün dışında, ürün yazılımı düzeyinde çalışan gelişmiş kalıcılık tekniklerine daha fazla maruz kalmayla karşı karşıya kalır.
Danışmanlık belgesi, kuruluşlara Windows ve Linux ortamlarında Güvenli Önyükleme durumunu doğrulamak için pratik değerlendirme prosedürleri sağlar.
Sistem yöneticileri, Güvenli Önyüklemenin etkin bir şekilde uygulandığını doğrulamalı, uygun sertifika kurulumunu doğrulamalı ve yapılandırmaları endüstri standartlarıyla karşılaştırmalıdır.
CISA’ya göre kılavuz, güvenlik durumunu kontrol etmek ve analiz için yapılandırma ayrıntılarını çıkarmak için belirli PowerShell ve terminal komutlarını içerir.
Sektörün 2011 imza sertifikalarından yeni 2023 eşdeğerlerine geçişi, kuruluşların Güvenli Önyükleme yapılandırmalarını buna göre denetlemesini ve güncellemesini gerektiren önemli bir odak noktasıdır.
Yaygın görülen yanlış yapılandırmalar arasında devre dışı bırakılmış Güvenli Önyükleme, eksik sertifikalar, üretim cihazlarında kalan test kimlik bilgileri ve Güvenli Önyükleme veri depolarına yanlış yerleştirilmiş karmalar veya sertifikalar yer alır.
Kılavuzda özetlenen kurtarma prosedürleri, çoğu yapılandırma hatasının fabrika sertifikası geri yüklemesi veya ürün yazılımı güncellemeleri yoluyla çözülmesine olanak tanır. Ancak karmaşık senaryolar satıcının katılımını gerektirebilir.
Tavsiye belgesi, uygun Güvenli Önyükleme yapılandırmasının temel tedarik zinciri risk yönetimini temsil ettiğini ve kuruluşları en düşük yazılım yürütme düzeylerinde ürün yazılımı tabanlı tehditlere ve yetkisiz sistem erişimine karşı koruduğunu güçlendirir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.