サイバーニュース.jp

世界のサイバーなニュースを配信

CISA、エンタープライズデバイスにおけるUEFIセキュアブート保護の新ガイダンスを発表

カテゴリ:

概要

サイバーセキュリティ・インフラセキュリティ庁(CISA)は、エンタープライズシステムにおけるUEFIセキュアブート構成の管理に関する

重要なガイダンスを発表しました。この包括的な勧告は、ファームウェアベースの脅威や永続的なマルウェア攻撃に対して組織を危険にさらしてきたブートレベルのセキュリティ脆弱性に関する高まる懸念に対処するものです。

セキュアブートの重要性と背景

過去には、PKFail、BlackLotus、BootHoleといった脆弱性が、エンタープライズ環境におけるセキュアブート実装の重大なギャップを明らかにしました。これらの事例は、デバイスがしばしば誤った構成または無効化されたセキュアブート設定で出荷されており、システムをブートキットや不正なブートソフトウェアの実行に対して脆弱にしていることを示しています。CISAは、Trusted Platform Modulesやフルディスク暗号化のような他のセキュリティ技術が有効になっているからといって、セキュアブート保護がアクティブであると単純に仮定すべきではないと強調しています。

セキュアブートは、システム起動時に実行されるバイナリを制御するために、証明書とハッシュを使用する重要なブート時強制メカニズムです。この技術は、次の4つの主要なデータストアを維持しています。

  • Platform Key:認証用
  • Key Exchange Keys:信頼された証明書管理用
  • Allow list database:承認されたバイナリ用
  • Exclusion database:失効または信頼されていないソフトウェア用

組織がセキュアブート構成を怠ると、従来のエンドポイントセキュリティの可視範囲外で、ファームウェアレベルで動作する高度な永続化技術への露出が増加します。

新ガイダンスの主な内容と推奨事項

この勧告は、WindowsおよびLinux環境全体でセキュアブートの状態を検証するための実用的な評価手順を組織に提供します。システム管理者は、セキュアブートが積極的に適用されていることを検証し、適切な証明書のインストールを確認し、業界標準と構成を比較する必要があります。CISAによると、ガイダンスには、セキュリティ状態をチェックし、分析のために構成の詳細を抽出するためのPowerShellおよびターミナルコマンドが含まれています。

特に重要な焦点は、2011年の署名証明書から新しい2023年の証明書への業界移行であり、組織はそれに合わせてセキュアブート構成を監査および更新する必要があります。一般的な設定ミスには、無効化されたセキュアブート、欠落している証明書、テスト資格情報が本番デバイスに残っていること、セキュアブートデータストア内のハッシュまたは証明書が不適切に配置されていることなどが挙げられます。

結論と今後の展望

ガイダンスに示されている復旧手順は、ほとんどの構成エラーが工場出荷時の証明書復元またはファームウェアアップデートを通じて解決できるとしています。しかし、複雑なシナリオではベンダーの関与が必要になる場合があります。この勧告は、適切なセキュアブート構成が、ファームウェアベースの脅威や最低レベルのソフトウェア実行における不正なシステムアクセスから組織を保護する、不可欠なサプライチェーンリスク管理であることを再確認しています。

元記事: https://gbhackers.com/cisa-issues-new-guidance-for-securing-uefi-secure-boot/

投稿をさらに読み込む