サイバーセキュリティ・インフラセキュリティ庁(CISA)は、企業システム全体におけるUEFIセキュアブート構成の管理に関する重要なガイダンスを公開しました。
この包括的な勧告は、ファームウェアベースの脅威や持続的なマルウェア攻撃に組織をさらしてきた、ブートレベルのセキュリティ脆弱性に対する懸念の高まりに対応するものです。
PKFail、BlackLotus、BootHole などの最近の脆弱性は、企業環境におけるセキュアブート実装に重大な欠陥があることを示しました。
これらのインシデントから、デバイスがしばしばセキュアブート設定の誤構成や無効化された状態で出荷されており、その結果、システムがブートキットやブートソフトウェアの不正実行に対して脆弱になっていたことが明らかになりました。
ガイダンスでは、Trusted Platform Module やフルディスク暗号化など、他のセキュリティ技術が有効化されているからといって、セキュアブートによる保護が自動的に有効になっていると管理者が想定してはならないと強調しています。
セキュアブートは、システム起動時にどのバイナリが実行されるかを制御するために、証明書とハッシュを用いる重要なブート時の強制メカニズムとして機能します。
この技術は、認可を行うプラットフォームキー、信頼された証明書管理のためのキー交換キー、承認済みバイナリのための許可リストデータベース、失効または信頼されないソフトウェアのための除外データベースという、4つの主要なデータストアを維持します。
セキュアブートの構成を軽視する組織は、従来のエンドポイントセキュリティの可視性の外側で、ファームウェアレベルで動作する高度な永続化手法への曝露が高まることになります。
この勧告は、Windows および Linux 環境全体でセキュアブートの状態を検証するための、実践的な評価手順を組織に提供しています。
システム管理者は、セキュアブートが積極的に強制されていることを確認し、証明書が正しくインストールされているかを検証し、構成を業界標準と比較する必要があります。
CISAによると、このガイダンスには、セキュリティ状態の確認や、分析のための構成詳細の抽出に用いる具体的な PowerShell およびターミナルコマンドが含まれています。
特に重視されているのは、2011年の署名証明書から新しい2023年版への業界全体の移行であり、これに伴い、組織はセキュアブート構成の監査と更新を行う必要があります。
一般的な誤構成には、セキュアブートの無効化、証明書の欠如、本番デバイスに残されたテスト用認証情報、セキュアブートのデータストア内におけるハッシュや証明書の不適切な配置などが含まれます。
ガイダンスで示されている復旧手順により、多くの構成エラーは工場出荷時の証明書復元やファームウェアアップデートを通じて解決できますが、複雑なシナリオではベンダーの関与が必要となる場合があります。
この勧告は、適切なセキュアブート構成が、ファームウェアベースの脅威や、最も低いソフトウェア実行レベルにおける不正なシステムアクセスから組織を保護する、重要なサプライチェーンリスク管理であることを改めて強調しています。
翻訳元: https://gbhackers.com/cisa-issues-new-guidance-for-securing-uefi-secure-boot/
