Користувачам Windows та Linux приготуватися: за тиждень — дедлайн для оновлення ключів Secure Boot,

Час спливає для користувачів Windows і Linux, яким потрібно оновити криптографічні ключі, що захищають їхні системи від прошивкових UEFI-інфекцій — небезпечної форми шкідливого ПЗ, яке завантажується ще до старту операційної системи та антивірусного захисту.

Читайте также: BYD Great Tang за $40 тис. проїжджає до 950 км та заряджається за 5 хвилин

Починаючи з 24 червня, три сертифікати, які криптографічно підтверджують, що кожен компонент прошивки та програмного забезпечення, яке запускається під час завантаження системи, є легітимним, втратять чинність. Ці сертифікати, підписані Microsoft, є основою Secure Boot — створеного Microsoft ланцюга довіри. Secure Boot перевіряє цифрові підписи всієї прошивки, яка завантажується під час старту системи, щоб переконатися, що вона походить із надійного джерела, наприклад від виробника материнської плати.

Після встановлення вони зазвичай завантажують у систему інше шкідливе ПЗ, яке краде облікові дані, створює бекдори або виконує інші шкідливі дії. Навіть після очищення ОС bootkit може повторно інфікувати систему. Перевстановлення операційної системи також не завжди допомагає.

Коротка історія bootkit’ів

Походження bootkit’ів сягає початку 1980-х років, коли з’явилися перші шкідливі програми, що атакували Apple II на етапі завантаження системи. Вони поширювалися через дискети, які нібито містили піратські ігри.

У 2012 році була продемонстрована нова форма bootkit’а. Замість BIOS або master boot record він атакував системи Mac OS X через інфікування EFI — набору прошивки, що запускає процес завантаження. Інший, дуже примітивний bootkit атакував Windows 8 через UEFI. Приблизно у 2013 році дослідник продемонстрував більш просунутий UEFI bootkit для Windows під назвою Dreamboat.

У 2020 році дослідники виявили другий відомий випадок реального UEFI-атаки. При кожному перезавантаженні заражений UEFI перевіряв наявність шкідливого файлу в папці автозавантаження Windows і, якщо його не було, встановлював його. Дослідники назвали це ПЗ MosaicRegressor. Як саме були скомпрометовані UEFI, встановити не вдалося. Відтоді з’явилася ще низка UEFI bootkit’ів, серед них ESpecter, FinSpy і MoonBounce.

Необхідність — мати винахідливості

У відповідь на зростаючу загрозу UEFI bootkit’ів Microsoft разом із виробниками пристроїв розробила Secure Boot — галузевий стандарт, який використовує криптографічні підписи для перевірки кожного компонента, що завантажується під час старту системи. Secure Boot створює ланцюг довіри, який не дозволяє зловмисникам замінити легітимну прошивку шкідливою. Якщо хоча б один елемент ланцюга не розпізнано, пристрій не завантажується.

Виявлення LogoFail змусило Microsoft замінити існуючі криптографічні підписи Secure Boot на нові. Три старі сертифікати, датовані 2011 роком, поступово відкликаються. Натомість впроваджуються нові, датовані 2023 роком. Microsoft уже оновлює системи Windows 10 і Windows 11. Дистрибутиви Linux також оновлюють “shims” — невеликі первинні UEFI-завантажувачі, які виступають довіреним містком між ключами Secure Boot і завантажувачем Linux.

Щоб перевірити стан ключів у Windows, потрібно відкрити Windows Security > Device Security > Secure Boot. Зелена позначка означає, що оновлення виконано. Більшість ПК оновлюють ключі автоматично через щомісячні патчі, але старі системи можуть вимагати ручного втручання. Користувачам Linux слід стежити за випуском нових shim-версій. Якщо можливо, варто утриматися від оновлення прошивки материнської плати до завершення переходу на нові сертифікати.

Читайте также: Злітає як гелікоптер, летить як літак: Китай вперше у світі підняв у небо безпілотний конвертоплан вагою 6

Джерело: ArsTechnica