Attacchi Emergenti a Firmware UEFI/BIOS
12/10/2020
Proto: N041220.
Con la presente Yoroi intende informarla riguardo un nuovo trend di attacco verso firmware UEFI/BIOS. Questa tecnica di attacco fa uso di appositi strumenti e codici finalizzati a leggere, scrivere o cancellare il firmware UEFI/BIOS di un dispositivo.
Questa tipologia di attacco era in passato limitata a scenari di attacco avanzati filo governativi, come nel caso “Lojax” operato da attori APT Sofacy/APT28, ma recentemente tracce di questa tecnica sono state ritrovate nei codici delle versioni più recenti del malware TrickBot (TH-185), operato invece in ambienti cyber criminali .
In dettaglio, le tecniche di attacco coinvolgono il processo di boot che gestisce l’inizializzazione dei componenti e di come sono caricati nel sistema operativo, se questo processo è compromesso un attaccante può controllare il sistema operativo e stabilire una persistenza anche in caso di ripristino di quest’ultimo; solitamente la superficie esterna al sistema operativo è difficilmente esaminata da soluzioni di sicurezza come antivirus e EDR.
Le possibilità che si aprono ad un attaccante in grado di compromettere quello specifico componente sono innumerevoli:
- Brick di un dispositivo al livello firmware tramite malware remoto o campagna ransomware.
- Reinfezione di un dispositivo appena ripristinato.
- Bypass dei controlli di sicurezza su cui si basa il sistema operativo, come l'isolamento di sicurezza basato su virtualizzazione e container, l'isolamento delle credenziali, la crittografia completa del disco e altri controlli di protezione degli endpoint e dell'identità.
Considerata la recente scoperta di sperimentazioni nell'adozione di tecniche di infezione UEFI/BIOS all'interno degli ambienti Cyber-Criminali, Yoroi consiglia di valutare la revisione delle politiche di hardening dei dispositivi nel proprio parco macchine aziendale per limitare l’eventuale esposizione, ad esempio appurando che le procedure operative prevedano controlli volti a:
- verificare che i firmware BIOS nel parco macchine client e server siano protetti da scrittura
- verificare periodicamente l'integrità dei firmware UEFI/BIOS
- aggiornare regolarmente il firmware per risolvere eventuali nuove vulnerabilità
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
