[KB6567] ESET deteguje škodlivý kód v UEFI

Problém

  • Váš ESET produkt upozorňuje na prítomnosť škodlivého kódu v UEFI (napríklad EFI/CompuTrace, WIN32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
  • Čo je škodlivý kód v UEFI a ako sa pred ním chrániť
  • Ako vyriešiť problém detekcie aplikácií v UEFI

Podrobnosti

UEFI (pri starších počítačoch a v minulosti BIOS) je základný firmvér počítača a pri jeho štarte sa načítava do pamäte ako prvý. UEFI je uložený vo flash pamäti čipu osadenom priamo na základnej doske počítača. Ak útočník infikuje UEFI, dokáže nasadiť škodlivý kód, ktorý je odolný voči reinštalácii operačného systému, reštartom systému či fyzickej výmene systémového disku. Takto ukrytý škodlivý kód navyše nemusia bezpečnostné riešenia zachytiť, pretože väčšina z nich UEFI nekontroluje.

Predstavením Kontroly UEFI, ktorá vyhľadáva hrozby už na najnižšej systémovej úrovni, spoločnosť ESET ako prvá poskytla vrstvu zabezpečenia chrániacu pred UEFI bootkitmi.

Kontrola UEFI je súčasťou nasledujúcich bezpečnostných produktov od spoločnosti ESET:

  • ESET Mail Security pre Microsoft Exchange Server (verzia 7)
  • ESET File Security pre Microsoft Windows Server (verzia 7)
  • ESET Security pre Microsoft SharePoint Server (verzia 7)
  • ESET Mail Security pre IBM Domino (verzia 7)
  • ESET File Security pre Azure
  • ESET Smart Security Premium (od verzie 11)
  • ESET Internet Security (od verzie 11)
  • ESET NOD32 Antivirus (od verzie 11)
  • ESET Endpoint Security/Antivirus (iba verzia 7)

Riešenie

Váš produkt ESET deteguje škodlivý kód alebo aplikáciu v UEFI

Kontrola UEFI je súčasťou najnovších verzií produktov ESET. V sekcii Podrobnosti je uvedený zoznam produktov, v ktorých je Kontrola UEFI dostupná.

Detekcia potenciálne nebezpečných alebo nechcených aplikácií je v ESET produktoch predvolene vypnutá. Pretože infekcie UEFI sú veľmi špecifické vzhľadom na firmvér hardvéru, ktorý napadnú, ESET ich dokáže len detegovať a oznámiť ich prítomnosť. UEFI sa kontroluje len pri počiatočnej kontrole pri štarte počítača, alebo pri vlastnej kontrole v prípade, že je zvolená možnosť „Zavádzacie sektory/UEFI“.

Obr. 1-1

Ako chrániť počítač pred škodlivým kódom v UEFI

  • Používajte počítač s novším čipsetom
    Overte, či sú všetky vaše počítače postavené na moderných čipsetoch s Platform Controller Hub (čipsety Intel série 5 a novšie).
  • Uistite sa, že váš počítač má povolenú funkciu Secure Boot
    Škodlivý kód napádajúci UEFI štandardne nie je správne podpísaný a funkcia Secure Boot mu zabráni v zavedení do operačnej pamäte počítača.
  • Aktualizujte UEFI vašej základnej dosky
    Ako preventívne opatrenie odporúčame vykonať aktualizáciu UEFI aj v prípade, že vás na to operačný systém alebo diagnostický nástroj základnej dosky neupozorní. Novšia verzia UEFI môže byť menej zraniteľná voči škodlivému kódu.

Ako vyriešiť problém s detegovaným škodlivým kódom v UEFI

Pretože infekcia UEFI je veľmi špecifická a viazaná na firmvér hardvéru, váš ESET produkt ju nedokáže odstrániť. Existujú však kroky, ktorými môžete dosiahnuť nápravu.

  • Na stránkach výrobcu vašej základnej dosky sa pokúste vyhľadať novšiu verziu UEFI a ak je dostupná, vykonajte aktualizáciu. Znovu spustite ESET Kontrolu UEFI. Ak sa pri kontrole opäť zistí prítomnosť škodlivého kódu v UEFI, môžete požiadať výrobcu základnej dosky, aby aktualizoval UEFI a odstránil problém.
  • Vynechajte detekciu tejto hrozby v nastaveniach vášho ESET produktu. Ak máte aktivovanú detekciu potenciálne nebezpečných aplikácií a výrobca ešte neaktualizoval UEFI, môžete vynechať detekciu hrozby z budúcich kontrol.
     

Domáci používatelia: Vylúčenie aplikácie podľa mena z kontroly v domácich produktoch ESET pre Windows

Firemní používatelia s produktmi verzie 7: Vylúčenie súborov alebo priečinkov z rezidentnej kontroly na klientskych staniciach s použitím ESET Remote Administrator.

Firemní používatelia s produktmi verzie 6: Vylúčenie súborov alebo priečinkov z rezidentnej kontroly na klientskych staniciach s použitím ESET Remote Administrator.

Použite napríklad názov hrozby: @NAME=EFI/CompuTrace.A

 

 

Pre bližšie informácie ohľadom škodlivého kódu v UEFI vrátane prevencie a nápravy už spôsobených škôd odporúčame článok na stránke WeLiveSecurity.com - Lojax: First UEFI rootkit found in the wild, courtesy of the Sednit group

Ak sa vám nepodarilo vyriešiť svoj problém, kontaktujte technickú podporu spoločnosti ESET.

Kontaktujte nás

02/322 44 444 (pracovné dni 8:00-18:30)