Компанія ESET — лідер у галузі інформаційної безпеки — виявила уразливість, що впливає на більшість систем на основі UEFI та дозволяє кіберзлочинцям обійти механізм захисту UEFI Secure Boot.

Використання цієї уразливості може призвести до виконання небезпечного коду під час завантаження системи, дозволяючи потенційним зловмисникам легко розгортати шкідливі компоненти (наприклад, буткіти Bootkitty або BlackLotus). Це можливо навіть у системах із увімкненим механізмом UEFI Secure Boot та не залежить від інстальованої операційної системи.

Уразливість CVE-2024-7344 було виявлено в компоненті UEFI, підписаному стороннім сертифікатом UEFI «Microsoft Corporation UEFI CA 2011». Спеціалісти ESET повідомили про результати Координаційний центр CERT (CERT/CC) у червні 2024 року, який успішно зв’язався з відповідними постачальниками. Наразі проблему вирішено в продуктах, на яких це впливало, а старі уразливі бінарні файли були відкликані Microsoft у виправленні від 14 січня 2025 року.

Компонент UEFI є частиною кількох пакетів програмного забезпечення для відновлення системи в режимі реального часу, розроблених Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. і Signal Computer GmbH.

«Кількість уразливостей UEFI, виявлених за останні роки, і помилки в їх виправленні або оновленні уразливих бінарних файлів протягом певного періоду часу показує, що навіть така важлива функція, як UEFI Secure Boot, не повинна вважатися непроникним бар’єром», — розповідає Мартін Смолар, дослідник ESET. — Однак найбільше хвилює той факт, що це не перший випадок виявлення очевидно небезпечного бінарного файлу UEFI з підписом. Тож виникає питання, наскільки поширене використання таких небезпечних методів серед сторонніх постачальників програмного забезпечення UEFI та скільки інших подібних невідомих, але підписаних завантажувачів може бути».

Використання цієї уразливості не обмежується системами з інстальованим програмним забезпеченням для відновлення, оскільки зловмисники можуть перенести власну копію уразливого бінарного файлу в будь-яку систему UEFI із зареєстрованим сертифікатом UEFI стороннього виробника. Крім того, для розгортання уразливих та шкідливих файлів у системному розділі UEFI потрібні підвищені привілеї (локальний адміністратор у Windows; root у Linux). Уразливість спричинена використанням спеціального завантажувача PE замість використання стандартних і безпечних функцій UEFI LoadImage та StartImage. Це впливає на всі системи UEFI з увімкненим стороннім підписом Microsoft UEFI.

Ризик використання цієї уразливості можна мінімізувати, застосувавши останні оновлення UEFI від Microsoft. Системи Windows мають оновлюватися автоматично. Поради Microsoft щодо уразливості CVE-2024-7344 можна знайти за посиланням. Для систем Linux оновлення доступні через Linux Vendor Firmware Service.

Детальніше про уразливість читайте в повному дослідженні.

Ця стаття Дослідники ESET виявили нову уразливість у системах UEFI раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Хоча сучасні операційні системи, такі як Windows 11 досить безпечні, є кілька додаткових заходів, які ми можемо зробити для додаткового захисту наших комп’ютерів, наприклад, змінити деякі параметри безпеки BIOS.

Ці налаштування BIOS/UEFI можуть зробити ваш комп’ютер значно безпечнішим, і це займе всього кілька секунд. Найкращим є те, що ці засоби захисту активуються ще до повного завантаження комп’ютера, перешкоджаючи потенційним зловмисникам розпочати свою діяльність.

Встановлення пароля до BIOS

Найкращий захист часто є найпростішим

Якщо ви працюєте з конфіденційною інформацією, ви знаєте, як важливо не допускати до комп’ютера неавторизованих користувачів. Якщо ви цього не робите, вам може бути цікаво, до чого хтось може отримати доступ, якщо заволодіє вашим ноутбуком або настільним комп’ютером. Відповідь – до всього. Якщо вони зможуть завантажити ваш комп’ютер, вони зможуть отримати ваші дані, використовуючи живий диск Linux, щоб скопіювати все, що захочуть, з вашого жорсткого диска.

Щоб ніхто, крім вас, не зміг завантажити ваш комп’ютер, вам потрібно встановити пароль до BIOS. Завантажте комп’ютер у BIOS і знайдіть пункт “Пароль адміністратора” (Administrator Password). Він попросить вас ввести пароль двічі, і все. Тепер, кожного разу, коли хтось намагатиметься увімкнути ваш комп’ютер, він запитуватиме цей пароль перед завантаженням. Той, хто не введе пароль, буде заблокований, що забезпечить захист вашого комп’ютера.

Увімкніть безпечне завантаження

Вам це потрібно, якщо ви використовуєте Windows 10 або 11

Безпечне завантаження (Secure Boot) – одна з найважливіших функцій безпеки на сучасних комп’ютерах. Вона перевіряє все програмне забезпечення, встановлене на комп’ютері, щоб переконатися, що йому можна довіряти, зокрема драйвери прошивки UEFI, програми EFI та операційну систему. Це вимога для запуску Windows 11, тому на вашому комп’ютері вона може бути вже ввімкнена, але деякі дистрибутиви Linux і Windows 10 також використовують цю функцію. Якщо ви зібрали свій власний комп’ютер, є ймовірність, що безпечне завантаження ще не ввімкнено.

Хороша новина полягає в тому, що перевірити, чи увімкнено безпечне завантаження, або увімкнути його, якщо воно не увімкнено, не займе багато часу. Ви також можете зробити це без перезавантаження комп’ютера, відкривши меню “Пуск”, набравши msinfo32 і натиснувши Enter.

На першій сторінці інформації буде поле під назвою Стан безпечного завантаження, яке може бути увімкненим або вимкненим. Якщо воно вимкнене, увімкніть безпечне завантаження у прошивці вашого комп’ютера.

Процес увімкнення Secure Boot може трохи відрізнятися залежно від виробника вашого комп’ютера та версії BIOS. Тому рекомендуємо звернутися до інструкції до вашого пристрою або на офіційний сайт виробника для отримання більш точних інструкцій.

Загальний алгоритм увімкнення Secure Boot

1. Завантаження в BIOS: Під час запуску комп’ютера натискайте ту клавішу, яка викликає меню BIOS. Найчастіше це F2, F10, Del або Esc. Точна клавіша вказана на екрані під час завантаження.
2. Знайдіть розділ Secure Boot: В інтерфейсі BIOS знайдіть розділ, пов’язаний із завантаженням (Boot) або безпекою (Security). У цьому розділі шукайте опцію “Secure Boot”. Можливо, вам доведеться зайти у вкладені меню, щоб знайти цю опцію.
3. Увімкніть Secure Boot: Виберіть опцію “Secure Boot” і встановіть її значення на “Enabled” або “On”. Можливо, вам буде запропоновано створити або вибрати ключі безпечного завантаження. Зазвичай, для нових систем достатньо залишити стандартні налаштування.
4. Збережіть зміни: Знайдіть опцію “Save and Exit” або “Exit Saving Changes” і підтвердіть збереження змін.
   Комп’ютер перезавантажиться з новими налаштуваннями.

Переконайтеся, що TPM увімкнено

У Windows 11 цю функцію потрібно ввімкнути в будь-якому випадку, але вона корисна і для інших операційних систем

Вперше за довгий час у Windows 11 підвищено мінімальні вимоги до апаратного забезпечення, необхідного для запуску операційної системи. Однією з найбільших змін стала примусова вимога щодо встановлення модуля довіреної платформи (Trusted Platform Module, TPM), тож якщо ви використовуєте Windows 11 на своєму ноутбуці або настільному комп’ютері, ви вже випереджаєте події в цьому питанні.

Якщо ви ще не ввімкнули TPM, настав час перезавантажитися в BIOS/UEFI. Якщо у вас материнська плата AMD, знайдіть TPM 2.0 і ввімкніть його. У BIOS більшості материнських плат є функція пошуку, яка полегшить пошук. На материнських платах Asus це клавіша F9, але вона має з’явитися на головному екрані BIOS, щоб ви могли легко її вибрати. Якщо ви використовуєте материнську плату Intel, ви будете шукати Intel PTT, або Platform Trust Technology, що є одним і тим же. Якщо ви не можете знайти програмний TPM на материнській платі, ви можете придбати фізичний TPM для настільного ПК, який коштує близько $20, і підключити його до спеціального роз’єму, розташування якого ви можете знайти в інструкції до материнської плати.

Кілька невеликих змін у BIOS зроблять ваш комп’ютер безпечнішим

Сучасні комп’ютери вже досить безпечні, але є деякі речі, які можна зробити, щоб бути більш захищеними. Пароль BIOS – це один з найважливіших кроків, який ви можете зробити, тому що якщо люди взагалі не можуть отримати доступ до комп’ютера, то він вже захищений з самого початку. Інший спосіб захистити свій комп’ютер – регулярно перевіряти наявність оновлень BIOS і застосовувати їх, якщо бачите, що в них згадуються виправлення безпеки. Навіть якщо про це прямо не сказано, остання версія BIOS, швидше за все, містить виправлення помилок, які також допоможуть убезпечити комп’ютер.

Ця стаття Змініть ці 3 параметри безпеки BIOS, щоб зробити ваш ПК більш захищеним раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

TrickBot, один із найвідоміших та найадаптованіших ботнетів у світі, розширює свій набір інструментів, щоб визначити вразливості у прошивках  BIOS цільових комп’ютерів для потенційного розгортання завантажувача та отримання повного контролю над зараженою системою.

Нова функціональність, яка отримала назву “TrickBoot” від дослідників з Advanced Intelligence (AdvIntel) та Eclypsium, використовує легко доступні інструменти для перевірки пристроїв на відомі вразливості, які можуть дозволити зловмисникам вводити зловмисний код в прошивку пристрою UEFI/BIOS, надаючи зловмисникам ефективний механізм постійного зберігання шкідливих програм, повідомляє TheHackerNews.

“Це знаменний крок в еволюції TrickBot, оскільки імплантація на рівні прошивки UEFI є найглибшою, найбільш потужною та прихованою формою завантажувачів шкідливих програм”, – заявили дослідники. “Додавши можливість виявляти пристрої жертв для конкретних вразливостей прошивки UEFI/BIOS, оператори TrickBot можуть атакувати конкретних жертв на рівні прошивки, яка виживає при перевстановленні ОС або навіть при переформатуванні носіїв”.

UEFI – це інтерфейс мікропрограми та заміна BIOS, що покращує безпеку, гарантуючи, що жодне шкідливе програмне забезпечення не втручалося в процес завантаження. Оскільки UEFI полегшує завантаження самої операційної системи, такі інфекції стійкі до перевстановлення ОС або заміни жорсткого диска.

TrickBot з’явився у 2016 році як банківський троян, але з тих пір перетворився на багатоцільове “зловмисне програмне забезпечення як сервіс” (MaaS), яке заражає системи іншими шкідливими корисними навантаженнями, призначеними для викрадення облікових даних, електронної пошти, фінансових даних та розповсюдження програм-шифрувальників, що шифрують файли. такі як Conti або Ryuk.

Його модульність та універсальність зробили його ідеальним інструментом для різноманітних зловмисних дій, незважаючи на спроби компаній-виробників ПЗ та спеціалістів з кібербезпеки зруйнувати інфраструктуру ботнета. Це також спостерігалося у поєднанні з кампаніями Emotet щодо розгортання програми-вимогателя Ryuk.

“Найбільш розповсюджений ланцюг атак в основному починається з кампанії Emotet, яка потім завантажує TrickBot та/або інші навантажувачі та рухається до інструментів атаки, таких як PowerShell Empire або Cobalt Strike, для досягнення цілей щодо жертви організації, яка зазнає атаки”, – сказали дослідники. – Часто, в кінці ланцюга дій, розгортається програма-вимагач Conti або Ryuk”.

На сьогодні ботнет заразив понад мільйон комп’ютерів, за даними Microsoft та її партнерів із Symantec, ESET, FS-ISAC та Lumen. Найновіше доповнення до їхнього арсеналу дає уявлення про те, що TrickBot можна не тільки масово націлювати на системи за допомогою програми-вимогателя та атаки UEFI, але й надавати злочинним суб’єктам ще більше ваги під час переговорів про викуп, залишаючи приховану “зак” UEFI в системі для подальшого використання.

Розробка також є ще одним знаком того, що противники розширюють свою увагу за межі операційної системи пристрою на нижчі шари, щоб уникнути виявлення та проводити руйнівні кампанії чи кампанії, спрямовані на шпигунство.

Розвідувальний компонент TrickBot, який вперше спостерігався в жовтні 2020 року відразу після спроб зняття, організованих Американським кіберкомандуванням та Microsoft, націлений на системи на базі Intel від Skylake через набори мікросхем Comet Lake для виявлення вразливостей в прошивці UEFI заражених машини. Зокрема, дослідники виявили, що TrickBoot націлюється на флеш-мікросхему SPI, в якій розміщено прошивку UEFI/BIOS, використовуючи заражену копію драйвера RwDrv.sys інструменту RWEverything, щоб перевірити, чи не розблокований регістр керування BIOS і чи вміст області BIOS може бути модифікованим.

Незважаючи на те, що діяльність шкідника до цього часу обмежена розвідкою, розширення цієї можливості записування шкідливого коду в прошивку системи, забезпечує тим самим, що код зловмисника виконується перед завантаженням операційної системою, і відкриває шлях для встановлення бекдорів, або навіть знищення цільового пристрою. Більше того, враховуючи розмір і обсяг TrickBot, атака такого роду може мати серйозні наслідки.

“TrickBoot – це лише один рядок коду, який не дозволяє знешкодити будь-який пристрій, який виявиться вразливим, – відзначили дослідники. – Ризики для національної безпеки, що виникають внаслідок широкомасштабної кампанії зловмисного програмного забезпечення, здатної “мінувати” пристрої, величезні”.

Завдяки приорітетам  та особливостям UEFI, “оператори TrickBot можуть відключити будь-який контроль рівня безпеки ОС, який їм потрібен, що потім дозволяє їм повернутися до модифікованої ОС із кастрованим захистом кінцевих точок і виконувати пізніше свої задачі”.

Для пом’якшення таких загроз рекомендується постійно оновлювати прошивки, увімкнути захист від запису BIOS та перевірити цілісність мікропрограми для захисту від несанкціонованих модифікацій.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Шкідник TrickBot “навчили” ховатися в областях завантаження та у прошивках комп’ютерів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Протягом останніх кількох років однією з топових тем в галузі інформаційних технологій залишається безпека UEFI (Unified Extensible Firmware Interface). Зокрема інтерес спеціалістів з кібербезпеки та користувачів пов’язаний з виявленням першого UEFI-руткіта під назвою LoJax у 2018 році.

Це шкідливе програмне забезпечення отримувало повний контроль над комп’ютерами жертв, залишаючись в системі після повторної інсталяції операційної системи (ОС) або навіть заміни жорсткого диску. Саме виявлення цієї загрози стало поштовхом до створення спеціалістами ESET системи для безпеки UEFI, яка б дозволяла ефективно досліджувати вже відомі та нові загрози.

На основі даних телеметрії було розроблено спеціальну технологію обробки виконуваних файлів UEFI з використанням методів машинного навчання з метою виявлення підозрілих дій у вхідних зразках.

“Система самостійно виявляє аномальні зразки шляхом пошуку нетипових характеристик у виконуваних файлах UEFI”, — коментують дослідники компанії ESET.

Що таке UEFI?

Це розширений інтерфейс між операційною системою та вбудованим програмним забезпеченням (ПЗ) пристрою, який був створений для заміни застарілого інтерфейсу BIOS (Basic Input/Output System). Зокрема, він визначає набір стандартизованих сервісів, таких як “boot services” та “runtime services” в Прикладному програмному інтерфейсі (API).

Вбудоване ПЗ зберігається у флеш-пам’яті SPI, яка є мікросхемою на материнській платі системи. Таким чином, повторне встановлення ОС або заміна жорсткого диска не впливає на код вбудованого програмного забезпечення. На відміну від BIOS, UEFI містить сотні різних виконуваних файлів або драйверів.

Існує кілька способів зміни вбудованого програмного забезпечення для інфікування пристрою користувача. Найпоширеніший варіант — це використання зловмисниками модифікації вбудованого ПЗ, призначеного для віддаленої діагностики або сервісного обслуговування. Другий метод передбачає отримання зловмисниками фізичного доступу до інфікованого пристрою.

Крім цього, існує ще третій спосіб, який передбачає атаки з використанням шкідливих програм, здатних змінювати вбудоване ПЗ. Прикладом уже виявленої загрози є перший руткіт під назвою LoJax, який використала група кіберзлочинців Sednit для атаки на урядові організації на Балканах, а також в Центральній та Східній Європі. Цей шкідливий модуль UEFI здатний завантажувати та виконувати небезпечний код на диску за допомогою методу стійкості.

Безпека UEFI з використанням технологій машинного навчання

На сьогодні шкідливий код, подібний до руткіту LoJax, не поширений. У реальному середовищі існує безліч виконуваних файлів UEFI, і лише невелика частина з них шкідлива. Зокрема за останні два роки було виявлено понад 2,5 мільйона унікальних виконуваних файлів із загальної кількості 6 мільярдів. У зв’язку з неможливістю проаналізувати таку велику кількість файлів, спеціалісти ESET вирішили створити автоматизовану систему з метою зменшення кількості зразків, які потребують втручання людини.

Створена технологія обробки була протестована на відомих підозрілих та шкідливих виконуваних файлах UEFI, зокрема і на LoJax. Система виявила, що руткіт під назвою LoJax значно відрізнявся від будь-яких виявлених раніше зразків.

“Проведене тестування підтвердило, що за умови появи подібної загрози UEFI ми зможемо визначити та негайно проаналізувати її”, — доповнюють спеціалісти компанії ESET.

Варто зазначити, що сканер UEFI здійснює моніторинг UEFI у режимі реального часу. Зокрема кожен новий вхідний виконуваний файл додається до масиву даних, обробляється, індексується та враховується під час опрацювання інших зразків.

Відстежуючи загрози UEFI за допомогою цієї системи, спеціалісти ESET виявили небажані компоненти, які можна розділити на дві категорії – бекдор вбудованого ПЗ та модулі стійкості на рівні ОС. У першому випадку зловмисники намагаються обійти захист системи від несанкціонованого доступу. Найчастіше параметри UEFI дозволяють встановлювати паролі для захисту доступу до налаштувань. Тоді як бекдори дозволяють обходити цей захист без використання пароля.

Прикладом подібної загрози є бекдор, виявлений у декількох моделях ноутбуків ASUS. Варто зазначити, що після попередження спеціалістами ESET постачальник пристроїв усунув проблему та випустив відповідне оновлення.

Також небезпеку можуть становити модулі стійкості на рівні операційної системи, які відповідають за інсталяцію програмного забезпечення. Через складність процесу оновлення вбудованого ПЗ комп’ютер з уразливим компонентом може містити уразливість протягом усього терміну використання.

“Хоча наша система обробки ще не знайшла жодної нової шкідливої ​​програми UEFI, попередньо отримані результати мають великі перспективи”, — коментують спеціалісти компанії ESET.

Як виявити та видалити шкідливий компонент?

Через зростання кількості складних атак кіберзлочинців на систему безпеки UEFI, користувачі мають забезпечити надійний захист своїх комп’ютерів та інформації, яка зберігається на них. Саме тому компанія ESET стала першим ІТ-вендором, який доповнив власні продукти функцією для забезпечення безпеки UEFI. Сканер перевіряє та забезпечує захист середовища попереднього завантаження у системах з інтерфейсом UEFI. Функція виявляє шкідливі компоненти у вбудованому програмному забезпеченні та повідомляє про їх наявність користувачу.

З точки зору безпеки UEFI, інфіковане вбудоване ПЗ становить велику загрозу, оскільки його дуже важко виявити та видалити. Також не існує простих способів очищення пристрою від такого виду загрози. Часто видалити шкідливий компонент неможливо за допомогою повторного встановлення операційної системи та навіть заміни жорсткого диска, допомогти може лише повне очищення вбудованого ПЗ. У разі неможливості такої дії єдиною альтернативою є зміна материнської плати інфікованого пристрою.

До речі, Samsung випустила дві бета-версії свого призначеного для користувача інтерфейсу One UI для пристроїв Galaxy S10. Однак користувачам не слід поспішати з встановленням нової оболонки, оскільки вона містить помилку, що робить смартфон непридатним до використання.

Також Apple вирішила змусити користувачів застарілих версій iOS встановити останні оновлення, навіть якщо вони самі цього не хочуть.

Зверніть увагу,новий стрімінговий майданчик Apple TV+ запуститься відразу в півтора сотнях країн, ставши одним з найбільш значущих неапаратних релізів Apple за останні кілька років. В компанії ретельно готувалися до цієї події, знявши кілька десятків серіалів і фільмів. Компанія називає їх новими хітами, а деякі з них навіть порівнює за розмахом із “Грою престолів”. Але критики вважають інакше.

Австралійська комісія з питань конкуренції та захисту споживачів подала в суд на Google, звинувативши американську компанію в тому, що вона “вводить в оману” користувачів щодо використання їх персональних даних.

Ця стаття Як технологія машинного навчання допомагає виявити загрози в розширеному інтерфейсі UEFI? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар