Language
CISA: 悪意のあるブートローダーに注意してください

ニュース

ホームページホームページ / ニュース / CISA: 悪意のあるブートローダーに注意してください
search
最近のニュース

Oct 08, 2023

2023 年は観測史上最も暑い年となる見通し

Jun 01, 2024

大型クローラーショベルを輸送するための 6 つのヒント

Feb 17, 2024

アチェ警察、ピディ地区で不法金鉱採掘者4人を逮捕

Jul 24, 2023

Nucor が率いる連合が、温室効果ガス排出量を測定および報告するための世界的な鉄鋼基準を発行

Feb 03, 2024

シーズン35試合を終えたフィラデルフィア・フィリーズの様子

お問い合わせを送信してください
送信

Aug 17, 2023

CISA: 悪意のあるブートローダーに注意してください

更新日 11:55 EDT / 2023 年 8 月 7 日 by David Strom 米国サイバーセキュリティ・インフラセキュリティ庁は、あまり知られていないが重要な部分のセキュリティを強化するための行動喚起を発行しました。

2023年8月7日東部時間11時55分更新

デヴィッド・ストロム著

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、あらゆるコンピュータに組み込まれている、あまり知られていないが重要なソフトウェアのセキュリティを強化するための行動喚起を発表した。

Unified Extensible Firmware Interface (UEFI) と呼ばれるこのインターフェイスは、起動時に実行され、コンピューターの動作を制御し、デバイス ドライバーと電源管理インターフェイス制御およびその他のアプリケーション インターフェイスをロードします。 CISAは8月3日、多くの攻撃者がシステムを侵害し、その運用を制御して検出を回避するためにマルウェアを挿入するためにUEFIに焦点を当てていることを懸念していると述べた。

その一例が BlackLotus エクスプロイトで、最近では 4 月に Microsoft Security によって、そして 5 月に米国家安全保障局によって文書化されました。 この文書には、最近のブート ローダー ファイルの日付やログ エントリ、変更された Windows レジストリ キー (下図)、または特定のネットワーク動作など、UEFI ベースのマルウェアが存在することを示す手がかりを特定する方法が含まれています。

これらの UEFI ベースの攻撃は、OS によって実際にロードされる前に、オペレーティング システムのあらゆる種類のセキュリティ メカニズムを有効または無効にする可能性があるため、より潜行的です。 それは問題ではありませんが、UEFI は現在何億ものコンピューターに搭載されています。

CISAの警告はやや悲観的なもので、サイバーセキュリティの研究者や開発者はUEFI攻撃への対応方法や、この特定のソフトウェアをより良く保護する方法について「まだ学習モードにある」と述べた。 「UEFI は、他のすべてが依存する物理コンピューティング機構を管理するための主要なソフトウェア標準です」とブログ投稿で述べています。 そして、その妥協は引き続き問題です。

UEFI マルウェアは、システムの再起動、OS の再インストール、さらにはコンピュータの特定の物理コンポーネントの交換後も存続する可能性があるため、問題となります。 たとえば、BlackLotus は古い Windows ブート ローダーを配置し、メモリ整合性機能を無効にし、BitLocker を無効にし、最新のセキュリティ パッチをより脆弱なバージョンにロールバックします。

これは修復しようとすると多くの悪い問題であり、これが CISA が感染した PC を修復するのではなく破壊することを推奨する理由の 1 つです。 これは、UEFI 攻撃が重要な標的となる理由の 1 つでもあります。攻撃者は、システムの再起動やシステム パッチを気にすることなく、ステルス性を獲得し、長時間動作することができます。

UEFI 開発者は長年にわたり、マルウェア感染を阻止するための防御手段を開発してきました。CISA のブログ投稿では、セキュリティバイデザイン原則の使用と、より成熟したインシデント対応手段の採用の 2 つについて言及しています。 ただし、これらは普遍的に実装されているわけではありません。

UEFI 開発者 AMI は昨年の秋に、上記のパッチ適用のロールバックを防ぐ方法を提案しましたが、その展開にはむらがありました。 厳密なメモリ管理スキームを含むリファレンスチップアーキテクチャもありますが、研究者らは、これらのスキームはまだ研究して検証する必要があると主張しています。 安全なハードウェア エンクレーブを確立するための取り組みは他にもありますが、これらの取り組みはどれもセキュリティを UEFI プロセスにまで拡張するものではありません。

問題の一部は、UEFI サプライ チェーンが開発者と依存関係が複雑に絡み合ったものであることです。 一般的な PC には、50 を超える異なる UEFI モジュールと、さまざまな開発者の独自のコレクションを持つ数十のソフトウェア サプライヤーから提供される数百のデバイス ドライバーが搭載されている場合があります。

この複雑さにより、ソフトウェアの現在のバージョンを追跡し、悪意のある者によって何かが侵害されているかどうかを判断することが困難になります。 さらに悪いことに、UEFI の一部は「ユーザーまたはネットワークからの信頼できない入力を受け入れることも期待されています」。

Microsoft と NSA のガイドラインには、すべての Windows リカバリ メディアを更新したり、さまざまな OS パッチを最新の状態に保つなど、企業が自社をより適切に保護する方法に関する推奨事項が記載されています。 また、カーネギー メロン大学ソフトウェア エンジニアリング研究所の Vijay Sarvepalli 氏は、開発者およびセキュリティ プロセスの改善に関する長いリストとともに、UEFI の問題を詳細に説明する論文を執筆しました。