Jamnya adalah berdetak untuk jendela Dan Linux pengguna untuk memperbarui kunci kriptografi yang melindungi sistem mereka dari berbasis firmware Infeksi UEFIsuatu bentuk malware berbahaya yang dimuat sebelum sistem operasi dan perlindungan anti-malware dimulai.
Mulai tanggal 24 Juni, tiga sertifikat yang memverifikasi secara kriptografis bahwa setiap firmware dan perangkat lunak yang dimuat selama boot sistem akan kedaluwarsa. Sertifikat yang ditandatangani Microsoft adalah kunci dari Secure Boot, rantai kepercayaan yang dirancang oleh Microsoft. Secure Boot memeriksa tanda tangan digital dari semua firmware yang dimuat selama startup sistem untuk memastikan firmware tersebut berasal dari penyedia tepercaya, seperti produsen motherboard tempat sistem dijalankan.
Secure Boot dirancang untuk menggagalkan bootkit UEFI, suatu bentuk malware yang mengubah Unified Extensible Firmware Interface, penerus BIOS, yang keduanya memulai urutan boot awal. Karena bootkit ini dimuat sebelum OS dan sebagian besar kode lainnya, bootkit ini mungkin sulit dideteksi. Setelah terinstal, mereka biasanya memuat malware ke OS yang mencuri kredensial, melakukan backdoor pada sistem, atau melakukan tindakan jahat lainnya. Bahkan ketika OS didesinfeksi, bootkit dapat menginfeksi ulang sistem. Bootkit juga dapat bertahan dari instalasi ulang OS.
Sejarah Singkat Bootkit
Asal usul bootkit dimulai pada awal tahun 1980an dengan diciptakannya beberapa malware yang menargetkan mesin Apple II selama proses boot. Mereka menyebar di alam liar melalui floppy disk yang diduga berisi game bajakan.
Bootkit Windows mendapat perhatian di awal tahun 2000-an sebagai bukti konsep yang dikembangkan oleh para peneliti keamanan ofensif. BootRoot, sebuah bootkit didemonstrasikan pada konferensi keamanan Black Hat tahun 2005, kemungkinan besar merupakan kejadian pertama. Malware tersebut menginfeksi Antarmuka Driver Jaringan, yang menyederhanakan komunikasi antara driver protokol jaringan yang memungkinkan layanan seperti driver adaptor jaringan TCP/IP. Pada tahun-tahun berikutnya, PoC serupa disertakan Vbootkititu Bootkit yang Dilempari BatuDan mebrot. Masih banyak lagi.
Pada tahun 2012, bentuk bootkit baru didemonstrasikan. Daripada menargetkan mesin melalui BIOS atau master boot record, satu bootkit tersebut menyerang sistem Mac OS X dengan menginfeksi EFI, paket firmware yang memulai proses boot. A Kedua bootkit yang sangat primitif menargetkan mesin Windows 8 dengan menginfeksi Paket boot UEFIpendahulu UEFI. Sekitar tahun 2013, seorang peneliti mendemonstrasikan bootkit UEFI yang lebih canggih untuk Windows bernama perahu impian.
Kasus serangan dunia nyata pertama yang diketahui menargetkan UEFI terjadi pada tahun 2018 dengan ditemukannya malware yang dijuluki LoJax. Versi baru dari perangkat lunak anti-pencurian sah yang dikenal sebagai LoJack, dibuat oleh kelompok peretas yang didukung Kremlin dan dilacak dengan nama termasuk Sednit, Fancy Bear, dan APT 28. Malware ini diinstal dari jarak jauh menggunakan alat malware yang dapat membaca dan menimpa bagian dari memori flash firmware UEFI.
Pada tahun 2020, para peneliti menemukan contoh kedua malware dunia nyata yang menyerang UEFI. Setiap kali perangkat yang terinfeksi di-boot ulang, UEFI-nya memeriksa apakah ada file berbahaya di folder startup Windows dan, jika tidak, menginstalnya. Peneliti dari Kaspersky, penyedia keamanan yang menemukan malware tersebut, menamakannya “Regresor Mosaik.” Para peneliti belum menentukan bagaimana UEFI yang disusupi bisa terinfeksi. Sejak itu, beberapa bootkit UEFI baru telah terungkap. Mereka dilacak dengan nama termasuk ESpecter, FinSpy, dan MoonBounce.
Kebutuhan Adalah Ibu dari Penemuan
Menanggapi ancaman bootkit UEFI yang lebih mengancam, Microsoft bekerja sama dengan pembuat perangkat untuk mengembangkan Secure Boot, sebuah standar industri yang menggunakan tanda tangan kriptografi untuk memastikan bahwa setiap bagian firmware yang dimuat saat startup dipercaya oleh produsen komputer. Boot Aman dirancang untuk menciptakan rantai kepercayaan yang mencegah penyerang mengganti firmware boot yang dimaksud dengan firmware berbahaya. Jika satu tautan dalam rantai pengaktifan tidak dikenali, Boot Aman akan mencegah perangkat untuk memulai.
Kemudian pada tahun 2023, peneliti menemukan LogoGagalserangkaian kerentanan kritis ditemukan UEFI melakukan booting pada hampir semua sistem Windows dan Linux di dunia. Bug penguraian gambar pada perangkat lunak yang menampilkan logo produsen perangkat keras saat boot memungkinkan penyerang melewati Boot Aman dan menginfeksi UEFI dengan firmware berbahaya.
Penemuan LogoFail mengharuskan Microsoft untuk mengganti tanda tangan kriptografi yang mendasari Secure Boot dengan yang baru. Tiga tanda tangan lama, bertanggal 2011, sedang dihapus. Sebagai gantinya adalah yang tertanggal 2023. Microsoft sedang dalam proses memperbarui mesin Windows 10 dan Windows 11. Distributor Linux juga sedang dalam proses memperbarui “shims”, sebuah bootloader UEFI kecil tahap pertama yang bertindak sebagai jembatan tepercaya antara kunci Boot Aman dan bootloader Linux.
Mesin yang gagal memperbarui kunci terkait Boot Aman akan terus berfungsi, namun tidak lagi terlindungi dari ancaman UEFI baru. Jelasnya, mereka sudah rentan terhadap ancaman UEFI baru yang mengeksploitasi kerentanan LogoFail di seluruh industri. Penyegaran kunci dirancang untuk memitigasi risiko tersebut dan mencegah serangan UEFI yang tidak terkait yang mungkin timbul di masa mendatang.
Untuk memeriksa status kunci pada mesin Windows, pengguna dapat membuka pengaturan Keamanan Windows > Keamanan Perangkat > Boot Aman. Tanda centang hijau berarti pembaruan telah selesai. Sebagian besar mesin Windows secara otomatis memperbarui kunci selama distribusi patch bulanan reguler, namun mesin yang lebih lama mungkin memerlukan perhatian manual. Pengguna Linux harus memperhatikan rilis shim baru.
Microsoft menganjurkan agar orang-orang tetap mengikuti semua pembaruan firmware, karena terkadang pembaruan tersebut diperlukan agar sertifikat Boot Aman dapat diperbarui dengan lancar. Perusahaan memiliki informasi lebih lanjut tentang penerapan pembaruan firmware Di Sini.
Cerita ini pertama kali muncul di Ars Teknika.
