SICUREZZA INFORMATICA

Malware UEFI: cos’è, dove si annida, come funziona e quali contromisure per difendersi

Il malware UEFI rappresenta una delle minacce più avanzate in quanto colpisce direttamente il firmware della scheda madre per evitare il rilevamento da parte delle principali soluzioni di sicurezza. E non basta una formattazione dell’hard disk per rimuoverlo. Un buon motivo per imparare a tenere aggiornato il BIOS

10 Giu 2022
N
Ricardo Nardini

IT System Specialist

La recente scoperta dei ricercatori di Security Kaspersky di una nuova variante di malware UEFI ha riportato l’attenzione su questa minaccia, una delle più pericolose in circolazione in quanto attacca direttamente il BIOS del computer anziché il sistema operativo (Windows, Linux, macOS).

Che cos’è il malware UEFI

Quando parliamo di malware UEFI ci riferiamo a un particolare codice malevolo che, nonostante le protezioni integrate nei BIOS di nuova generazione, viene eseguito già in fase di avvio del sistema, prima ancora che venga caricato il sistema operativo.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data

Questa sua particolare caratteristica gli consente, di fatto, di passare inosservato all’azione delle principali soluzioni per la sicurezza informatica.

Ricordiamo, infatti, che il BIOS è il firmware della scheda madre, cioè un programma di basso livello che controlla i circuiti del dispositivo consentendone, quindi, il regolare funzionamento.

Dove si annida il malware UEFI

A conti fatti, dunque, questo malware è in grado di nascondersi in un luogo in cui nemmeno una formattazione del disco rigido o una reinstallazione completa del sistema operativo sarà in grado di rimuoverlo.

In passato un malware di questa tipologia noto come MoonBounce, rilevato per la prima volta nel 2021, ha provocato attacchi molto sofisticati che, grazie al fatto di essere particolarmente elusivi e persistenti, potrebbero essere tuttora più diffusi di quanto si creda e utilizzati per spionaggio informatico.

Si teme che al giorno d’oggi ci siano molte UEFI (Unified Extensible Firmware Interface) infette e silenti, in attesa dell’input di attacco.

Il malware MoonBounce è noto come firmware bootkit, un impianto dannoso che si nasconde nel firmware UEFI. In altre parole, un malware che si nasconde nel codice che è archiviato nella memoria della scheda madre del computer e che ha le istruzioni necessarie per controllare il funzionamento di tutto l’hardware del computer.

UEFI: un aggiornamento necessario, ma tralasciato per pigrizia

UEFI è fondamentalmente una versione più moderna e sicura del BIOS. Comunque sia, anche se si ha dimestichezza con questo componente o si ha qualche volta gestito la sua configurazione, si potrebbe comunque non far parte degli utenti che hanno aggiornato il proprio firmware.

Ma cos’è realmente l’UEFI? Come accennato nel paragrafo precedente, la Unified Extensible Firmware Interface è la interfaccia software che funge da intermediario tra il firmware e il sistema operativo di molti PC.

Creata nel 2005 da un’alleanza dei principali sviluppatori di software e hardware tra cui Intel, ora sta rapidamente sostituendo il standard BIOS legacy. Ciò si ottiene grazie a un numero di funzionalità avanzate che mancano al BIOS: per esempio, la capacità di installare ed eseguire codice vero e proprio, capacità di manipolare la rete e Internet, capacità crittografiche, architettura e driver indipendenti dalla CPU.

A differenza dell’aggiornamento di Windows che è semplice e lineare, per aggiornare la parte UEFI/BIOS di solito si deve scaricare il nuovo firmware manualmente o automaticamente dal sito Web del produttore della scheda madre.

Capita, però, che per non causare all’utente finale una inaspettata perdita della macchina, sia lo stesso IT che sconsiglia l’aggiornamento e demanda a se stesso tramite un appuntamento con l’utente finale per eseguire i passaggi necessari dell’intera manovra.

I punti che innescano tale comportamento sono un IT oberato di lavoro e la paura dello spegnimento dell’unità a metà dell’operazione, che implica problemi hardware sull’unità stessa. Va considerato che sebbene alcuni produttori offrano già opzioni per farlo direttamente dall’UEFI, è comunque preferibile e più affidabile scaricare il firmware e salvarlo in locale su un dispositivo esterno per evitare errori in download perché si tratta di un processo molto critico.

Per fare ciò si deve ovviamente conoscere il modello esatto del computer o scheda madre e si deve sapere come eseguire l’avvio da UEFI, navigare attraverso la sua interfaccia (a volte molto ostile) e trovare le opzioni per eseguire il “flashing” del nuovo firmware.

Anche se si impara a fare tutto questo, però, non si avrà la garanzia di essere protetti dalle minacce attuali e future. La gran parte dei produttori hanno attrezzato i propri siti con la capacità di assistere l’utenza nell’individuazione, download e applicazione di questi aggiornamenti attraverso il numero seriale del computer.

Mantenere aggiornata l’infrastruttura hardware aziendale

L’esistenza di un firmware aggiornato per la propria scheda dipende da quanto è moderna e da quanto tempo è stata supportata dal suo produttore, non tutti i modelli avranno versioni firmware con le patch necessarie per affrontare le ultime vulnerabilità UEFI.

A differenza di Windows o altri sistemi operativi, aggiornare le proprie schede non è una soluzione semplice per tutti. In altre parole, l’utilizzo di hardware obsoleto anche con software aggiornato è comunque un problema per la cyber security.

Questo tipo di malware sempre più avanzato e sofisticato che colpisce il livello UEFI, è estremamente difficile da rilevare e mette in prospettiva l’importanza di mantenere aggiornato il firmware delle apparecchiature.

Tuttavia, questo è ancora un processo molto ostile per l’utente medio e troppo sconosciuto e “mistico” per il pubblico in generale.

Gli aggiornamenti di questo tipo devono essere programmati nel tempo in quanto l’utenza non può essere fermata quando ha i propri documenti e applicazioni aperte per riavviare “al volo” e aggiornare il PC, come detto prima è sempre l’IT a mettere questo freno.

Una schedulazione per gli aggiornamenti firmware è assolutamente necessaria e converrebbe eseguirla presso i propri laboratori e non in presenza dell’utente.

Se a questo passaggio si aggiungesse un piccolo sforzo da parte dell’azienda, rimpiazzando schede madri o unità PC obsolete senza aggiornamenti firmware a disposizione si farebbe un grosso salto in avanti per evitare di cadere in mani a un ransomware pieno di insidie sia informatiche che di danneggiamento del prestigio dell’azienda stessa.

La possibilità di usare la UEFI come silos per una botnet

Le capacità estremamente avanzate che rendono la parte UEFI una piattaforma attraente apre anche la strada a nuove vulnerabilità che non esistevano nell’era dei BIOS legacy. Per esempio, la possibilità di eseguire personalizzazioni sui moduli eseguibili permette di creare malware che verrebbero lanciati dal UEFI prima di qualsiasi anti-malware e ovviamente prima che il sistema operativo inizi a caricare.

La complessa architettura della UEFI inevitabilmente contiene vulnerabilità che possono potenzialmente incoraggiare i malintenzionati ad introdurre malware persistente sul sistema anche dopo la reinstallazione del sistema operativo.

Per esempio, una serie di vulnerabilità che potrebbe consentire all’attaccante con accesso locale a bypassare le protezioni da scrittura del firmware e ripristinare il file del firmware prende il controllo prima del boot della macchina.

Ciò rende possibile avviare gli attacchi compromettendo i driver UEFI e ottenendo l’accesso diretto alla memoria flash della scheda madre attraverso il sistema operativo.

Sfruttando queste vulnerabilità, gli autori sarebbero in grado di lanciare attacchi di massa o attacchi mirati, consentendo loro di intercettare input e output di dati recuperandoli attraverso la rete, creare aree nascoste in modo affidabile all’interno della memoria flash del computer, compromettere firme digitali, stabilire canali nascosti di comunicazione con server di comando e controllo remoti, caricare sistemi operativi esterni utilizzando la l’interfaccia di rete UEFI, ed altro…

Purtroppo, attualmente la cyber security presta poca attenzione a questi tipi di vulnerabilità. Mentre nel 2014 solo un paio di giornali sui malware che interessano il firmware hanno pubblicati articoli in merito, attraverso le pubblicazioni ufficiali di vulnerabilità si dimostra che in soli tre mesi nel 2015 queste cifre sono cresciute in modo esponenziale.

Una nuova generazione di malware su misura mirato in modo specifico sul firmware (non UEFI, ma nei controller HDD o SSD, per ora) è stato persino rilevato in ambito di cyber security. Ci si potrebbe scommettere che il futuro del malware abbia preso di mira il mondo UEFI, si pensi solo che mitigare questo tipo di vulnerabilità comporta il rimpiazzo di hardware obsoleto e le aziende sono sempre più restie ad investire per un “probabile” attacco.

Le contromisure per proteggersi dal malware UEFI

Un’altra classe di malware che potrebbe essere sradicata dall’oggi al domani rendendo UEFI più sicuro sono i rootkit e bootkit, che sono alcune tecnologie avanzate utilizzate dai malintenzionati informatici per lanciare codice dannoso prima dell’avvio del sistema operativo.

Dopo aver ottenuto l’accesso al processo di avvio del sistema operativo, il bootkit inizia a distribuire schemi anti-contromisure di rilevamento, sistema di compromissione driver, creazione dei propri processi e servizi che il sistema operativo considera legittimo.

Questa tecnologia è utilizzata in molte implementazioni di malware, come Careto, per nominarne uno. Quest’ultimo tipo di malware nasconde in modo molto efficace attacchi mirati.

Si calcola che anche in questo momento centinaia di migliaia di sistemi silenti sono infettati da rootkit. Questa cifra potrebbe sembrare insignificante rispetto ai milioni di infezioni virali e troiane “tradizionali”, ma a differenza di queste, i rootkit e bootkit sono alcune delle più pericolose tecnologie dannose in uso oggi.

Questo rende necessario la creazione di un sistema affidabile e versatile anti rootkit e anti bootkit, ed è uno degli obiettivi ambiti nell’intera sicurezza informatica industriale.

Avere installato ad uso e consumo dell’IT un sistema di calcolo della velocità media di CPU dei computer in azienda potrebbe svelare l’infezione abbordo di alcuni PC aziendali, o fare particolare attenzione attraverso sistemi come Antigena di particolari traffici di rete con determinati protocolli può anche esso determinare una certa anomalia che accende un campanello d’allarme su un eventuale macchina compromessa. Lo si sa che il problema o lo si previene o lo si risolve. Un sistema come quello descritto potrebbe prevenire un dilagarsi della problematica da sistemi compromessi.

Non tutto è fango, c’è da dire che le specifiche della UEFI contengono la possibilità di incorporare soluzioni di sicurezza al suo interno. Idealmente, tali soluzioni devono eseguire controlli di auto integrità UEFI, assicurandosi che essa non sia infetta, oltre che scansionare i files del sistema operativo dei computer locali e fare rilevamenti ed eliminazione di qualsiasi malware rootkit e bootkit.

Un azienda leader in questo tipo di soluzione è Kaspersky ma attualmente ci troviamo in uno scenario internazionale pieno di dubbi e cambiamenti con stop e rischi, che portano l’occidente a diffidare di alcune tecnologie dalla parte est del nostro continente.

Al momento possiamo solo sperare di difenderci con le nostre mani da queste insidie malware e ricercare all’interno del nostro settore di mercato una valevole soluzione per evitare piccole catastrofi aziendali.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO
@RIPRODUZIONE RISERVATA

Articolo 1 di 5