NSA publica orientação sobre customização UEFI para boot seguro

Um substituto para o BIOS (Basic Input Output System) legado, o UEFI é usado em várias arquiteturas e oferece opções de personalização mais amplas, desempenho superior, segurança aprimorada e suporte para mais dispositivos.

Nos últimos dois anos, o número de ataques direcionados ao firmware para persistência nos sistemas das vítimas aumentou, especialmente com o software antivírus em execução no sistema operacional sendo incapaz de identificar e bloquear ameaças no nível do firmware.

É aqui que o Secure Boot entra em jogo, fornecendo um mecanismo de validação para mitigar as vulnerabilidades de inicialização e o risco de exploração do firmware.

De acordo com a NSA, no entanto, problemas de incompatibilidade geralmente resultam na desativação da inicialização segura, o que a agência desaconselha. Além disso, incentiva fortemente a personalização da inicialização segura para atender às necessidades da organização.

“A personalização permite que os administradores percebam os benefícios das defesas de malware de inicialização, atenuações de ameaças internas e proteções de dados em repouso. Os administradores devem optar por personalizar a inicialização segura em vez de desabilitá-la por motivos de compatibilidade. A personalização pode – dependendo da implementação – exigir que as infraestruturas assinem seus próprios binários e drivers de inicialização ”, afirma a NSA.

Em um relatório técnico publicado na terça-feira e intitulado “ UEFI Secure Boot Customization ,” a agência recomenda que os administradores de sistema e proprietários de infraestrutura migrem suas máquinas para o modo nativo UEFI, que eles habilitem Secure Boot em todos os endpoints e também personalizem, e que todos os firmware é devidamente protegido e atualizado regularmente.

A inicialização segura, a NSA também observa, deve ser configurada “para auditar módulos de firmware, dispositivos de expansão e imagens de sistema operacional inicializáveis ​​(às vezes chamado de Modo completo)” e que um Módulo de plataforma confiável (TPM) deve ser empregado para garantir a integridade do firmware e da configuração de inicialização segura.

O relatório da NSA inclui informações técnicas sobre o que é UEFI e Secure Boot, ao mesmo tempo que oferece uma ampla gama de detalhes sobre como os administradores podem personalizar a Secure Boot, incluindo informações sobre opções de personalização avançadas disponíveis que podem ser aplicadas para atender a vários casos de uso.

Fonte: https://www.securityweek.com/nsa-publishes-guidance-uefi-secure-boot-customization