Efectividad del arranque seguro en la detección de rootkit en modo kernel

El arranque seguro consta de varios componentes que trabajan juntos ( enlace fue mi fuente de cómo los diferentes componentes de trabajo). Debido a que funciona verticalmente (desde el gestor de arranque hacia arriba) la seguridad de la protección en modo kernel requiere que los niveles inferiores funcionen perfectamente.

1. Arranque seguro

   • Cuando se enciende la PC, el UEFI Bios encuentra el cargador de arranque. El Bios solo ejecutará el cargador de arranque si el cargador de arranque está firmado con un certificado confiable o si el usuario ha aprobado la firma digital del cargador de arranque. Esto evita y los cargadores de arranque modificados / no oficiales, teóricamente parando los bootkits. Sin embargo, esto solo funciona si la seguridad se implementa correctamente. Un poco de Google encuentra varios informes de métodos que permiten que un programa omita el arranque seguro.

     • enlace
     • enlace
     • enlace
     • enlace

     Dejaré la evaluación de estos artículos como un ejercicio para el lector. Además, parece que hay artículos que hacen referencia a errores en la implementación UEFI de varias placas madre. Si asumimos que existen estas vulnerabilidades, todos los pasos adicionales de arranque seguro están comprometidos, incluida la protección del kit raíz del modo Kernel.

2. Arranque de confianza

   • El gestor de arranque luego verifica la firma digital del kernel. Luego el kernel verifica el proceso de inicio de Windows. Esto incluye los controladores del kernel, los archivos de inicio y el sistema ELAM. Si alguno de estos archivos está dañado, la computadora automáticamente intenta repararlos o reemplazarlos. Si esto falla, la computadora se niega a iniciar. Sin embargo, esto supone que el gestor de arranque estaba protegido. Si ese paso fue comprometido, este también podría ser omitido.

3. Early-Anti-Malware (ELAM)

   • ELAM inicia el software antivirus antes de que se carguen los controladores de arranque que no sean de Microsoft. Una vez que se inicia ELAM, escanea los controladores a medida que se cargan. En teoría, esto evita que los controladores infectados con malware se oculten del software antivirus, que normalmente no se carga hasta después del arranque. ELAM puede cargar un Microsoft (Windows Defender, Endpoint ect.) O un controlador anti-malware que no sea de Microsoft. Si un controlador contiene malware o no es confiable, entonces ELAM evitará que se cargue. Esto es seguro hasta el punto de que confía en que el software antivirus detecte las vulnerabilidades de los controladores y el malware, lo que no está garantizado con nuevas vulnerabilidades.

4. Arranque medido

   • El arranque medido no evita los ataques, en su lugar, ayuda en su detección. El uso de Measured Boot Windows envía registros sobre el proceso de arranque a un servidor seguro. Esto incluye los hashes de los archivos de arranque que permiten detectar cualquier cambio. Para que esto funcione, necesitas a. tener una configuración segura del servidor y b. supervisar activamente los registros de arranque.

Estos problemas potenciales no significan que el arranque seguro no funcione. Encontré muy pocas referencias a rootkits en funcionamiento o bootkits para sistemas UEFI en la naturaleza. Además, los informes 18 o 19 de Microsoft Security Intelligence ( enlace ) no informan ningún rootkits ni bootkits. Por supuesto, tampoco hacen reclamos en los informes de que Secure Boot solucionó estos problemas.