Con tantos parches y actualizaciones nuevos, ¿qué efecto tiene el arranque seguro en la detección de rootkits en modo kernel?
El arranque seguro consta de varios componentes que trabajan juntos ( enlace fue mi fuente de cómo los diferentes componentes de trabajo). Debido a que funciona verticalmente (desde el gestor de arranque hacia arriba) la seguridad de la protección en modo kernel requiere que los niveles inferiores funcionen perfectamente.
Arranque seguro
Cuando se enciende la PC, el UEFI Bios encuentra el cargador de arranque. El Bios solo ejecutará el cargador de arranque si el cargador de arranque está firmado con un certificado confiable o si el usuario ha aprobado la firma digital del cargador de arranque. Esto evita y los cargadores de arranque modificados / no oficiales, teóricamente parando los bootkits. Sin embargo, esto solo funciona si la seguridad se implementa correctamente. Un poco de Google encuentra varios informes de métodos que permiten que un programa omita el arranque seguro.
Dejaré la evaluación de estos artículos como un ejercicio para el lector. Además, parece que hay artículos que hacen referencia a errores en la implementación UEFI de varias placas madre. Si asumimos que existen estas vulnerabilidades, todos los pasos adicionales de arranque seguro están comprometidos, incluida la protección del kit raíz del modo Kernel.
Arranque de confianza
Early-Anti-Malware (ELAM)
Arranque medido
Estos problemas potenciales no significan que el arranque seguro no funcione. Encontré muy pocas referencias a rootkits en funcionamiento o bootkits para sistemas UEFI en la naturaleza. Además, los informes 18 o 19 de Microsoft Security Intelligence ( enlace ) no informan ningún rootkits ni bootkits. Por supuesto, tampoco hacen reclamos en los informes de que Secure Boot solucionó estos problemas.