UEFI speelt een essentiële rol bij de werking van systemen, maar de veiligheid laat te wensen over en moet snel worden verbeterd, zo stelt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat onder andere naar Microsoft wijst. Aanleiding voor de oproep van de overheidsinstantie is de BlackLotus-malware en de reactie hierop van Microsoft.
De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven.
Volgens het CISA blijkt uit de reactie op BlackLotus dat UEFI-ontwikkelaars en de cybersecurity community zich nog in nog in 'de leerstand' bevinden. "Met name UEFI secure boot-ontwikkelaars hebben nog niet allemaal public key infrastructure (PKI) practices toegepast voor het uitrollen van updates (het Linux-ecosysteem heeft dit wel goed geïmplementeerd)", zo laat de overheidsinstantie weten.
Het is dan ook belangrijk dat leveranciers in reactie op UEFI-kwetsbaarheden snel veilig updates kunnen uitrollen waarbij van PKI gebruik wordt gemaakt. In het geval van BlackLotus maakt de malware misbruik van een fout waardoor het bestanden naar een kwetsbare versie kan terugdraaien, om vervolgens te misbruiken. Daardoor is het updatekanaal waarmee Microsoft UEFI-updates voor Windowsgebruikers uitrolt niet voldoende veilig, stelt het CISA.
Afgelopen mei kwam Microsoft met advies hoe gebruikers handmatig een rollback naar een kwetsbare versie kunnen voorkomen. Daarnaast heeft het techbedrijf plannen voor het automatisch intrekken van bestanden. Dat is volgens het CISA een stap in de goede richting. "We blijven echter met Microsoft samenwerken aan een veilige manier om updates uit te rollen. BlackLotus benadrukt het belang van PKI bij het signeren van secure boot-bestanden."
Daarnaast moeten ook andere UEFI-ontwikkelaars stappen nemen, zo vindt het CISA. Zo moeten systeemeigenaren in staat worden gesteld om UEFI-onderdelen te auditen, moet het mogelijk zijn om UEFI-gerelateerde logs te verzamelen, moeten UEFI-ontwikkelaars van veilige ontwikkelomgevingen en best practices gebruikmaken, moet het updaten van UEFI-onderdelen eenvoudig zijn en moeten gebruikers niet worden gedwongen handmatige handelingen uit te voeren. "Aanvallers hebben aangetoond dat ze misbruik van UEFI kunnen maken en zullen daarin alleen maar beter worden", zo besluit het CISA.
Deze posting is gelocked. Reageren is niet meer mogelijk.