Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA), σε συντονισμό με την Υπηρεσία Εθνικής Ασφάλειας (NSA), εξέδωσε νέα καθοδήγηση που προτρέπει τις επιχειρήσεις να επαληθεύουν και να διαχειρίζονται τις διαμορφώσεις UEFI Secure Boot για την αντιμετώπιση απειλών του bootkit.
Το έγγραφο που κυκλοφόρησε τον Δεκέμβριο του 2025 ως Φύλλο πληροφοριών για την ασφάλεια στον κυβερνοχώρο (CSI), αντιμετωπίζει ευπάθειες όπως το PKFail, το BlackLotus και το BootHole που παρακάμπτουν τις προστασίες κατά την εκκίνηση. Οι επιχειρήσεις που παραμελούν αυτούς τους ελέγχους αντιμετωπίζουν αυξημένους κινδύνους από μόνιμο κακόβουλο λογισμικό υλικολογισμικού.
Το UEFI Secure Boot, που εισήχθη το 2006, επιβάλλει πολιτικές εκκίνησης χρησιμοποιώντας πιστοποιητικά και κατακερματισμούς σε τέσσερις μεταβλητές: Πλατφόρμα Κλειδί (PK), Κλειδί Ανταλλαγής Κλειδιών (KEK), Επιτρεπόμενη βάση δεδομένων (DB) και βάση δεδομένων ανάκλησης (DBX).
Αποτρέπει τα ανυπόγραφα δυαδικά αρχεία εκκίνησης, μετριάζοντας τους κινδύνους της εφοδιαστικής αλυσίδας κατά τη μετάβαση από τα πιστοποιητικά Microsoft που λήγουν 2011 σε εκδόσεις του 2023. Ενώ οι προεπιλεγμένες ρυθμίσεις στις περισσότερες συσκευές αποκλείουν άγνωστο κακόβουλο λογισμικό, οι εσφαλμένες διαμορφώσεις συχνά από κλειδιά δοκιμής ή απενεργοποιημένες λειτουργίες, εκθέτουν τα συστήματα.
Επισημασμένα τρωτά σημεία
Το PKFail αφορούσε συσκευές που αποστέλλονταν με μη αξιόπιστα πιστοποιητικά δοκιμής, επιτρέποντας τις παρακάμψεις ασφαλούς εκκίνησης. Το BlackLotus (CVE-2023-24932) εκμεταλλεύτηκε ελαττώματα του bootloader για να απενεργοποιήσει την επιβολή, παρά τις ενδείξεις κατάστασης που δείχνουν ότι ήταν ενεργό.
Τα ελαττώματα BootHole στο GRUB επέτρεψαν την αυθαίρετη εκτέλεση μέσω εσφαλμένων ρυθμίσεων, συντριπτική μνήμη DBX σε παλαιότερο υλικό. Αυτά τα περιστατικά υπογραμμίζουν την ανάγκη για τακτικούς ελέγχους πέρα από την εξάρτηση του TPM ή του BitLocker.
Οι διαχειριστές θα πρέπει πρώτα να επιβεβαιώσουν την επιβολή: εκτελούνται οι χρήστες των Windows Confirm-SecureBootUEFI στο PowerShell (True δείχνει ενεργό). Οι χρήστες Linux χρησιμοποιούν sudo mokutil –sb-state.
Εξαγωγή μεταβλητών με Get-SecureBootUEFI ή efi-readvarστη συνέχεια αναλύστε χρησιμοποιώντας τα εργαλεία GitHub της NSA για πιστοποιητικά/hashes. Οι αναμενόμενες ρυθμίσεις διαθέτουν τον προμηθευτή συστήματος PK/KEK, τις ΑΠ της Microsoft 2011/2023 στο DB και το DBX δεν κατακερματίζει κλειδιά δοκιμής ή επιτρεπτές λειτουργίες.
| Συστατικό | Αναμενόμενη διαμόρφωση | Ακατάλληλοι δείκτες |
|---|---|---|
| PK | Πιστοποιητικό πωλητή συστήματος | Απουσία ή δοκιμαστικά κλειδιά |
| ΚΕΚ | Προμηθευτής + Microsoft 2011/2023 | Λείπουν τα ΚΕΚ της Microsoft |
| DB | Microsoft CAs + προμηθευτής | Κενά ή άστοχα πιστοποιητικά |
| DBX | Κατακερματισμοί ανάκλησης | Κατακερματισμοί εκκίνησης ή διπλότυπα |
Επαναφέρετε τις εργοστασιακές προεπιλογές μέσω της ρύθμισης UEFI ή εφαρμόστε ενημερώσεις υλικολογισμικού/ λειτουργικού συστήματος που παρέχουν κάψουλες. Για τις επιχειρήσεις, ενσωματώστε τους ελέγχους στις δοκιμές προμηθειών και τις διαδικασίες SCRM.
NSA συμβουλεύει προσαρμογή έναντι απενεργοποίησης για αυστηρότερους ελέγχους, με εργαλεία στο GitHub. Η καθοδήγηση τονίζει τις λειτουργίες πλήρους ελέγχου και την αποφυγή της μονάδας υποστήριξης συμβατότητας (CSM).
Αυτό το CSI εξοπλίζει τις ομάδες IT για την προστασία της ακεραιότητας της εκκίνησης εν μέσω εξελισσόμενων απειλών. Κατεβάστε το πλήρες PDF από επίσημες πηγές για εντολές και διαγράμματα.
Related Posts
Προσοχή σε κακόβουλο εργαλείο καθαρισμού Steam Επίθεση σε μηχανήματα των Windows για ανάπτυξη κακόβουλου λογισμικού παρασκηνίου
Οι βασικές λειτουργίες QuasarRAT μαζί με την κρυπτογραφημένη διαμόρφωση και τις τεχνικές συσκότισης που εκτίθενται
Εργαλείο αποκλεισμού επικοινωνίας δικτύου που εξουδετερώνει το EDR/AV
