NSA publica orientação sobre customização UEFI para boot seguro
A Agência de Segurança Nacional dos Estados Unidos (NSA) publicou esta semana orientações sobre como o recurso de inicialização segura da interface de firmware extensível unificada (UEFI) pode ser personalizado para atender às necessidades de uma organização.
Um substituto para o BIOS (Basic Input Output System) legado, o UEFI é usado em várias arquiteturas e oferece opções de personalização mais amplas, desempenho superior, segurança aprimorada e suporte para mais dispositivos.
Nos últimos dois anos, o número de ataques direcionados ao firmware para persistência nos sistemas das vítimas aumentou, especialmente com o software antivírus em execução no sistema operacional sendo incapaz de identificar e bloquear ameaças no nível do firmware.
É aqui que o Secure Boot entra em jogo, fornecendo um mecanismo de validação para mitigar as vulnerabilidades de inicialização e o risco de exploração do firmware.
De acordo com a NSA, no entanto, problemas de incompatibilidade geralmente resultam na desativação da inicialização segura, o que a agência desaconselha. Além disso, incentiva fortemente a personalização da inicialização segura para atender às necessidades da organização.
“A personalização permite que os administradores percebam os benefícios das defesas de malware de inicialização, atenuações de ameaças internas e proteções de dados em repouso. Os administradores devem optar por personalizar a inicialização segura em vez de desabilitá-la por motivos de compatibilidade. A personalização pode – dependendo da implementação – exigir que as infraestruturas assinem seus próprios binários e drivers de inicialização ”, afirma a NSA.
Em um relatório técnico publicado na terça-feira e intitulado “ UEFI Secure Boot Customization ,” a agência recomenda que os administradores de sistema e proprietários de infraestrutura migrem suas máquinas para o modo nativo UEFI, que eles habilitem Secure Boot em todos os endpoints e também personalizem, e que todos os firmware é devidamente protegido e atualizado regularmente.
A inicialização segura, a NSA também observa, deve ser configurada “para auditar módulos de firmware, dispositivos de expansão e imagens de sistema operacional inicializáveis (às vezes chamado de Modo completo)” e que um Módulo de plataforma confiável (TPM) deve ser empregado para garantir a integridade do firmware e da configuração de inicialização segura.
O relatório da NSA inclui informações técnicas sobre o que é UEFI e Secure Boot, ao mesmo tempo que oferece uma ampla gama de detalhes sobre como os administradores podem personalizar a Secure Boot, incluindo informações sobre opções de personalização avançadas disponíveis que podem ser aplicadas para atender a vários casos de uso.
Fonte: https://www.securityweek.com/nsa-publishes-guidance-uefi-secure-boot-customization
