**Un Termen Limită Critic se Apropie pentru Securitatea Windows și Linux**
Cheile criptografice care securizează secvența de pornire a computerului dumneavoastră vor începe să expire pe 24 iunie. Iată ce înseamnă acest lucru pentru dumneavoastră.
Ceasul tik-tacă pentru utilizatorii Windows și Linux să actualizeze cheile criptografice care protejează sistemele lor împotriva infecțiilor UEFI bazate pe firmware, o formă insidioasă de malware care se încarcă înainte ca sistemul de operare și protecțiile antimalware să pornească. Începând cu 24 iunie, trei certificate care verifică criptografic dacă fiecare piesă de firmware și software care se încarcă în timpul pornirii sistemului vor expira. Certificatele semnate de Microsoft sunt pilonii Secure Boot, un lanț de încredere proiectat de Microsoft. Secure Boot verifică semnăturile digitale ale întregului firmware care se încarcă în timpul pornirii sistemului pentru a se asigura că provine de la un furnizor de încredere, cum ar fi producătorul plăcii de bază pe care rulează sistemul. Secure Boot este conceput pentru a contracara UEFI bootkits, o formă de malware care modifică Unified Extensible Firmware Interface, succesorul BIOS-ului, ambele inițiind secvența de pornire inițială. Deoarece aceste bootkits se încarcă înainte de sistemul de operare și de majoritatea celorlalte coduri, acestea pot fi greu de detectat. Odată instalate, acestea încarcă de obicei malware pe sistemul de operare care fură credențiale, creează backdoors sau efectuează alte acțiuni malițioase. Chiar și atunci când sistemul de operare este dezinfectat, bootkit-ul poate reinfecta sistemul. Bootkits supraviețuiesc și reinstalărilor sistemului de operare.
**O Scurtă Istorie a Bootkits-urilor**
Geneză bootkits-urilor datează de la începutul anilor 1980, odată cu crearea mai multor piese de malware care au vizat mașinile Apple II în timpul procesului de pornire. Acestea s-au răspândit pe scară largă prin intermediul dischetelor care conțineau, aparent, jocuri piratate. Bootkits-urile Windows au câștigat notorietate la începutul anilor 2000, ca dovezi de concept dezvoltate de cercetători în securitate ofensivă. BootRoot, un bootkit demonstrat la conferința de securitate Black Hat din 2005, este probabil primul astfel de caz. Malware-ul a infectat Network Driver Interface, care a simplificat comunicarea între driverele de rețea, permițând servicii precum driverele de adaptor de rețea TCP/IP. În anii următori, PoC-uri similare au inclus Vbootkit, Stoned Bootkit și Mebroot. Au existat multe altele. În 2012, a fost demonstrată o nouă formă de bootkit. În loc să vizeze mașini prin BIOS sau master boot record, un astfel de bootkit a atacat sistemele Mac OS X prin infectarea EFI, un pachet de firmware care a început procesul de pornire. Un al doilea bootkit foarte primitiv a vizat mașinile Windows 8 prin infectarea UEFI bootkit, predecesorul UEFI. În jurul anului 2013, un cercetător a demonstrat un UEFI bootkit mai avansat pentru Windows numit Dreamboat. Primul caz cunoscut de atac din lumea reală care a vizat UEFI a venit în 2018, odată cu descoperirea unui malware denumit LoJax. O versiune reprofilată a unui software legitim anti-furt, numit LoJack, a fost creată de grupul de hacking susținut de Kremlin, urmărit sub nume precum Sednit, Fancy Bear și APT 28. Malware-ul a fost instalat de la distanță, utilizând instrumente de malware capabile să citească și să suprascrie părți din memoria flash a firmware-ului UEFI. În 2020, cercetătorii au descoperit a doua instanță cunoscută de malware din lumea reală care atacă UEFI. De fiecare dată când un dispozitiv infectat repornea, UEFI verifica dacă un fișier malițios era prezent în folderul de pornire Windows și, dacă nu era, îl instala. Cercetătorii de la Kaspersky, furnizorul de securitate care a descoperit malware-ul, l-au numit "MosaicRegressor". Cercetătorii nu au determinat încă cum au fost infectate UEFI-urile compromise. De atunci, au apărut o serie de noi UEFI bootkits. Aceștia sunt urmăriți sub nume precum ESpecter, FinSpy și MoonBounce.
**Nevoia Este Mama Invenției**
Ca răspuns la amenințarea mai periculoasă a UEFI bootkits-urilor, Microsoft a colaborat cu producătorii de dispozitive pentru a dezvolta Secure Boot, un standard industrial care utilizează semnături criptografice pentru a se asigura că fiecare piesă de firmware încărcată în timpul pornirii este de încredere pentru producătorul unui computer. Secure Boot este conceput pentru a crea un lanț de încredere care împiedică atacatorii să înlocuiască firmware-ul de pornire intenționat cu firmware malițios. Dacă un singur element din lanțul de pornire nu este recunoscut, Secure Boot va împiedica pornirea dispozitivului. Apoi, în 2023, cercetătorii au descoperit LogoFail, o serie de vulnerabilități critice găsite în UEFI-uri care asigurau pornirea aproape tuturor sistemelor Windows și Linux din lume. Un bug de analiză a imaginilor în software-ul care prezenta logo-urile producătorilor de hardware în timpul pornirii a permis atacatorilor să ocolească Secure Boot și să infecteze UEFI cu firmware malițios. Descoperirea LogoFail necesită ca Microsoft să înlocuiască semnăturile criptografice existente care susțin Secure Boot cu altele noi. Trei semnături mai vechi, datate 2011, sunt eliminate. În locul lor, sunt cele datate 2023. Microsoft este în proces de actualizare a mașinilor cu Windows 10 și Windows 11. Distribuțiile Linux sunt, de asemenea, în proces de actualizare a "shim-urilor", un mic bootloader UEFI de primă etapă care acționează ca o punte de încredere între cheile Secure Boot și bootloader-ul Linux. Mașinile care nu reușesc să actualizeze cheile legate de Secure Boot vor continua să funcționeze, dar nu vor mai fi protejate împotriva noilor amenințări UEFI. Pentru a fi clar, acestea erau deja vulnerabile la noi amenințări UEFI care au exploatat vulnerabilitatea industrială LogoFail. Reîmprospătarea cheilor este concepută pentru a atenua acest risc și pentru a preveni atacuri UEFI nelegate care ar putea apărea în viitor. Pentru a verifica starea cheilor pe mașinile Windows, utilizatorii pot deschide setările Windows Security > Device Security > Secure Boot. O bifă verde indică faptul că actualizarea a fost finalizată. Majoritatea mașinilor Windows actualizează automat cheile în timpul distribuțiilor lunare regulate de patch-uri, dar mașinile mai vechi pot necesita atenție manuală. Utilizatorii Linux ar trebui să fie atenți la lansarea de noi shim-uri. Microsoft recomandă utilizatorilor să fie la curent cu toate actualizările de firmware, deoarece acestea sunt uneori necesare pentru ca certificatele Secure Boot să fie actualizate fără probleme. Compania oferă mai multe informații despre aplicarea actualizărilor de firmware aici.