CISA ha lanciato un appello per una revisione della sicurezza dei meccanismi di aggiornamento dell’UEFI, il firmware responsabile della routine di avvio di un sistema. La richiesta arriva sullo sfondo della complicata mitigazione del bootkit BlackLotus, sottolineando la necessità di un approccio “sicuro per design” per rafforzare la sicurezza complessiva dell’UEFI.
UEFI: un bersaglio popolare
L’UEFI è una superficie di attacco popolare poiché, se caricato con codice malevolo, gli attori delle minacce possono ottenere un alto livello di persistenza su un sistema. Il codice si avvia prima del sistema operativo o di qualsiasi software di sicurezza, rendendolo invisibile alla maggior parte delle tattiche di risposta e impervio ai riavvii del sistema. La richiesta della CISA è una richiesta di movimento standardizzato per neutralizzare le minacce all’UEFI, creando software e un percorso di aggiornamento intrinsecamente indurito.
Il problema con BlackLotus
BlackLotus, il primo malware in-the-wild in grado di eludere l’implementazione UEFI Secure Boot di Microsoft, è stato avvistato per la prima volta in vendita sul Dark Web lo scorso autunno. La protezione richiede l’applicazione manuale delle patch rilasciate da Microsoft, ma l’NSA ha avvertito che ciò non è sufficiente per risolvere completamente il problema. BlackLotus sfrutta una falla nella distribuzione sicura degli aggiornamenti, e se Microsoft avesse utilizzato un approccio PKI più sicuro per l’UEFI, il problema potrebbe essere già stato risolto.
Le specifiche della CISA per migliorare la sicurezza degli aggiornamenti UEFI
La CISA ha delineato specifiche su come una strategia sicura per design possa rafforzare una soluzione ingegneristica di sicurezza olistica. Questi sforzi includono:
- La possibilità per i proprietari di sistemi di auditare, gestire e aggiornare i componenti UEFI come qualsiasi altro software.
- Le squadre operative dovrebbero aspettarsi di poter raccogliere, analizzare e rispondere ai log degli eventi che identificano le attività relative all’UEFI.
- Gli sviluppatori di componenti UEFI dovrebbero utilizzare ambienti di sviluppo sicuri e adottare le migliori pratiche di sviluppo del software.
- La comunità dei fornitori UEFI dovrebbe adottare capacità di aggiornamento ininterrotte e affidabili.
- Con un UEFI Security Response Team (USRT) in atto, la comunità UEFI dovrebbe ampliare l’adozione delle migliori pratiche per le operazioni PSIRT.
L’allarme della CISA sulla sicurezza UEFI sottolinea l’importanza di un approccio proattivo e responsabile alla sicurezza del firmware. Mentre l’industria informatica si sforza di tenere il passo con le minacce in continua evoluzione, l’adozione di pratiche sicure per design può essere un passo fondamentale per garantire che i sistemi siano protetti contro attacchi persistenti e sofisticati come BlackLotus.