⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

Час оновити криптографічні ключі: Secure Boot втрачає захист

· 3 хв читання
Час оновити криптографічні ключі: Secure Boot втрачає захист
**Користувачам Windows і Linux терміново потрібно оновити криптографічні ключі Secure Boot, бо з 24 червня застарілі сертифікати Microsoft втрачають чинність, відкриваючи шлях для небезпечних UEFI-інфекцій.** Оновлення захистить системи від шпигунського та шкідливого ПЗ, яке атакує ще до завантаження ОС.

Час оновити криптографічні ключі: Secure Boot втрачає захист від UEFI-інфекцій

Користувачам Windows і Linux необхідно терміново оновити криптографічні ключі, які захищають їхні системи від прошивкових UEFI-інфекцій. Цей тип шкідливого програмного забезпечення завантажується ще до старту операційної системи та антивірусного захисту, що робить його особливо небезпечним.

З 24 червня три сертифікати, які підтверджують легітимність компонентів прошивки та програмного забезпечення під час завантаження системи, втратять чинність. Ці сертифікати, підписані Microsoft, є основою технології Secure Boot — ланцюга довіри, що перевіряє цифрові підписи всієї прошивки під час старту системи.

Secure Boot створений для протидії UEFI-bootkit’ам — шкідливому ПЗ, яке модифікує Unified Extensible Firmware Interface (UEFI), наступника BIOS. Оскільки такі bootkit’и запускаються до операційної системи, їх складно виявити та усунути. Після встановлення вони можуть завантажувати додаткове шкідливе ПЗ, красти облікові дані, створювати бекдори або виконувати інші шкідливі дії. Навіть перевстановлення ОС не завжди допомагає позбутися цієї загрози.

Історія розвитку bootkit’ів

Перші bootkit’и з’явилися ще у 1980-х роках, атакуючи системи Apple II через заражені дискети з піратськими іграми.

На початку 2000-х років bootkit’и для Windows стали предметом досліджень у сфері кібербезпеки. Одним з перших прикладів став BootRoot, продемонстрований на конференції Black Hat у 2005 році. Він заражав Network Driver Interface, що забезпечує зв’язок між мережевими драйверами та TCP/IP-адаптерами. Згодом з’явилися інші proof-of-concept розробки, такі як Vbootkit, Stoned Bootkit та Mebroot.

У 2012 році був продемонстрований новий тип bootkit’а, який атакував системи Mac OS X через інфікування EFI — прошивки, що відповідає за початковий етап завантаження. Інший примітивний bootkit атакував Windows 8 через UEFI. Приблизно у 2013 році з’явився більш просунутий UEFI-bootkit під назвою Dreamboat.

Перший реальний випадок атаки на UEFI був зафіксований у 2018 році з виявленням шкідливого ПЗ LoJax. Це була модифікована версія легітимного антикрадіжкового програмного забезпечення LoJack, створена російською хакерською групою Sednit (Fancy Bear, APT28). Шкідливе ПЗ встановлювалося віддалено за допомогою інструментів, що могли перезаписувати флеш-пам’ять UEFI.

У 2020 році дослідники виявили ще один UEFI-bootkit — MosaicRegressor. При кожному перезавантаженні заражений UEFI перевіряв наявність шкідливого файлу в автозавантаженні Windows і, за його відсутності, встановлював його. Згодом з’явилися й інші UEFI-bootkit’и, зокрема ESpecter, FinSpy та MoonBounce.

Secure Boot: захист від UEFI-загроз

У відповідь на зростаючу загрозу UEFI-bootkit’ів Microsoft разом із виробниками пристроїв розробила технологію Secure Boot. Вона використовує криптографічні підписи для перевірки кожного компонента, що завантажується під час старту системи, створюючи ланцюг довіри. Якщо хоча б один елемент не пройде перевірку, пристрій не завантажиться.

У 2023 році дослідники виявили LogoFail — набір критичних вразливостей у UEFI, що присутні майже в усіх системах Windows і Linux. Ця помилка в обробці зображень логотипів виробників під час завантаження дозволяла обходити Secure Boot та інфікувати UEFI шкідливою прошивкою.

Виявлення LogoFail змусило Microsoft замінити старі криптографічні підписи Secure Boot на нові. Три сертифікати, видані у 2011 році, поступово відкликаються, а натомість впроваджуються нові, датовані 2023 роком. Оновлення вже проводяться для Windows 10 і Windows 11. Дистрибутиви Linux також оновлюють shims — невеликі первинні UEFI-завантажувачі, що виступають довіреним містком між ключами Secure Boot та завантажувачем Linux.

Пристрої, які не оновили ключі, продовжать працювати, але залишаться вразливими до нових UEFI-загроз. Оновлення ключів має зменшити ризики та запобігти майбутнім атакам.

Як перевірити стан ключів у Windows

  • Відкрийте Windows SecurityDevice SecuritySecure Boot.
  • Зелена позначка означає, що оновлення виконано.

Більшість ПК оновлюють ключі автоматично через щомісячні патчі, але старі системи можуть вимагати ручного втручання. Користувачам Linux слід стежити за випуском нових версій shim. До завершення переходу на нові сертифікати рекомендується утриматися від оновлення прошивки материнської плати.

Джерело: itc.ua
#Оновлення #Secure Boot #захист системи #UEFI-інфекції #криптографічні ключі #прошивкові загрози #Microsoft-сертифікати

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також