Efficacia di Secure Boot sul rilevamento dei rootkit in modalità kernel

Avvio protetto è composto da diversi componenti che lavorano insieme (il link è stato la mia fonte di come i diversi componenti funzionano). Poiché funziona in verticale (dal bootloader in su) la sicurezza della protezione in modalità kernel richiede che i livelli inferiori funzionino perfettamente.

1. Avvio protetto

   • Quando il PC è acceso, UEFI Bios trova il bootloader. Il Bios eseguirà il bootloader solo se il bootloader viene firmato utilizzando un certificato attendibile o l'utente ha approvato la firma digitale del bootloader. Questo impedisce e bootloader modificati / non ufficiali, in teoria arrestando i bootkit. Tuttavia, questo funziona solo se la sicurezza è implementata correttamente. Un po 'di Google trova diversi report di metodi che consentono a un programma di ignorare Secure Boot.

     • link
     • link
     • link
     • link

     Lascerò la valutazione di questi articoli come un esercizio per il lettore. Inoltre, sembrano esserci articoli che fanno riferimento a bug nell'implementazione UEFI di diverse schede madri. Se supponiamo che questi exploit esistano, tutte le ulteriori fasi di Secure Boot sono compromesse, inclusa la protezione del kit root in modalità kernel.

2. Avvio sicuro

   • Il bootloader verifica quindi la firma digitale del kernel. Quindi il kernel verifica il processo di avvio di Windows. Questo include i driver del kernel, i file di avvio e il sistema ELAM. Se uno di questi file è danneggiato, il computer tenta automaticamente di ripararli / sostituirli. Se ciò non riesce, il computer si rifiuta di avviarsi. Tuttavia, ciò presuppone che il bootloader sia protetto. Se quel passo fosse stato compromesso, anche questo potrebbe essere aggirato.

3. Avvio anticipato Anti-Malware (ELAM)

   • ELAM avvia il software antivirus prima che vengano caricati i driver di avvio non Microsoft. Una volta avviato ELAM, analizza i driver durante il caricamento. Ciò impedisce in teoria ai driver infetti da malware di nascondersi dal software Anti-Virus, che normalmente non viene caricato fino a dopo l'avvio. ELAM può caricare un Microsoft (Windows Defender, Endpoint ect.) O un driver anti-malware non Microsoft. Se un driver contiene malware o non è affidabile, ELAM impedirà il caricamento. Questo è sicuro al punto che ti fidi del software anti-virus per rilevare gli exploit dei driver e il malware, il che non è garantito con nuovi exploit.

4. Boot misurato

   • Measured Boot non previene gli exploit, ma aiuta nel loro rilevamento. Utilizzo di Measured Boot Windows invia i log relativi al processo di avvio a un server sicuro. Questo include gli hash dei file di avvio che consentono di rilevare eventuali modifiche. Affinché questo funzioni, è necessario a. avere una configurazione sicura del server eb. monitorare attivamente i log di avvio.

Questi potenziali problemi non significano che Secure Boot non funzioni. Ho trovato pochissimi riferimenti a rootkit funzionanti o bootkit per i sistemi UEFI in natura. Inoltre, i report di Microsoft Security Intelligence 18 o 19 ( link ) non riportano alcun rootkit o bootkit. Ovviamente non fanno nemmeno dichiarazioni nei rapporti secondo cui Secure Boot ha risolto questi problemi.