สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)
การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว
ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้
- หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
- เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
- อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
- เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot
หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF/CTR-UEFI-SECURE-BOOT-CUSTOMIZATION-20200915.PDF
ที่มา: theregister.com