Problém
- Riešenie detekcií v UEFI, na ktorých prítomnosť upozorňuje váš produkt ESET (napríklad EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Ako ochrániť počítač pred škodlivým kódom v UEFI
- ESET deteguje škodlivý kód alebo aplikáciu v UEFI
Podrobnosti
Kliknutím rozbaľte
UEFI predstavuje firmvér, ktorý sa načíta do pamäte na začiatku procesu zavádzania systému pri štarte počítača. Je uložený na pamäťovom čipe, ktorý je osadený priamo na základnej doske počítača. Ak útočník infikuje firmvér UEFI, dokáže nasadiť škodlivý kód, ktorý je odolný voči preinštalovaniu operačného systému, reštartom systému či fyzickej výmene systémového disku. Takto ukrytý škodlivý kód navyše nemusia bezpečnostné riešenia zachytiť, pretože väčšina z nich firmvér UEFI nekontroluje.
Predstavením funkcie Kontrola UEFI, ktorá vyhľadáva hrozby už na najnižšej systémovej úrovni firmvéru, spoločnosť ESET ako prvá poskytla vrstvu zabezpečenia chrániacu pred UEFI bootkitmi.
Kontrola UEFI je súčasťou nasledujúcich bezpečnostných produktov od spoločnosti ESET:
- ESET Mail Security for Microsoft Exchange Server (verzia 7 a novšie)
- ESET File Security for Microsoft Windows Server (verzia 7 a novšie)
- ESET Security for Microsoft SharePoint Server (verzia 7 a novšie)
- ESET Mail Security for IBM Domino (verzia 7 a novšie)
- ESET Smart Security Premium (verzia 11 a novšie)
- ESET Internet Security (verzia 11 a novšie)
- ESET NOD32 Antivirus (verzia 11 a novšie)
- ESET Endpoint Security/Antivirus (verzia 7 a novšie)
Riešenie
Riešenie detekcií v UEFI
-
Aktualizujte firmvér od výrobcu vášho počítača a následne znovu spustite Kontrolu UEFI. Ak sa pri kontrole opäť zistí prítomnosť škodlivého kódu v UEFI, kontaktujte výrobcu počítača, aby zaistil aktualizáciu firmvéru, ktorou sa problematická detekcia v UEFI odstráni.
- Vylúčte detekciu v nastaveniach vášho produktu ESET. Ak máte aktivovanú detekciu potenciálne nebezpečných aplikácií a výrobca počítača neodstránil problémovú aplikáciu z firmvéru, môžete danú detekciu hrozby vylúčiť z budúcich kontrol.
Domáci používatelia: Vylúčte aplikáciu z kontroly podľa jej názvu v produktoch ESET určených pre domácnosti s OS Windows.
Firemní používatelia verzie 8 a novších:
- Pridajte alebo upravte vylúčenie detekcie (verzia 8.x a novšie) cez Rozšírené nastavenia v bezpečnostnom produkte ESET.
- Vytvorte vylúčenie (verzia 8.x a novšie) cez ESET PROTECT.
Obrázok 1-1
Firemní používatelia verzie 7:
Zadajte názov detekcie (napríklad EFI/CompuTrace.A).
-
Vypnite detekciu potenciálne nebezpečných aplikácií vo svojom produkte ESET.
Domáci používatelia: Konfigurácia detekcie potenciálne nechcených, nebezpečných a podozrivých aplikácií v produkte ESET
Firemní používatelia: Zapnutie alebo vypnutie detekcie potenciálne nechcených/nebezpečných aplikácií na koncových zariadeniach pomocou konzoly ESET PROTECT
-
Vykonajte tzv. preflashovanie SPI Flash pamäte, v ktorej sa nachádza UEFI. Ide však o zložitý postup, ktorý si vyžaduje opatrnosť a môže byť pri každej základnej doske iný. U výrobcu počítača sa informujte, či je tento krok vo vašom prípade možný.
-
Podrobné informácie o malvéri v UEFI vrátane prevencie a možností nápravy nájdete v nasledujúcom článku na stránke WeLiveSecurity.com: Lojax: Prvý rootkit v UEFI nájdený v reálnom prostredí, ktorý nasadila skupina Sednit.
-
Ak si myslíte, že detekcia škodlivého kódu v UEFI je nesprávna, odošlite túto detekciu na analýzu do spoločnosti ESET.
Ako ochrániť počítač pred škodlivým kódom v UEFI
- Používajte počítač s najnovšou čipovou súpravou
Skontrolujte, či všetky vaše systémy majú moderné čipové súpravy s komponentom Platform Controller Hub (čipové súpravy počnúc sériou Intel 5). - Uistite sa, že váš počítač má aktívny Secure Boot
Malvér v UEFI býva zvyčajne nesprávne podpísaný. Zapnutá technológia Secure Boot (Bezpečné spúšťanie) mu zabráni v načítaní a infikovaní počítača. - Aktualizujte firmvér UEFI v počítači
Aktualizáciu firmvéru UEFI odporúčame vykonať aj v prípade, že vás systém na detekciu neupozorní. Takéto preventívne opatrenie môže pomôcť minimalizovať riziko infekcie UEFI.
ESET deteguje škodlivý kód alebo aplikáciu v UEFI
Kontrola UEFI je súčasťou najnovších verzií produktov ESET. Zoznam produktov, v ktorých je Kontrola UEFI dostupná, nájdete vyššie v sekcii Podrobnosti.
Detekcia potenciálne nebezpečných alebo nechcených aplikácií je v produktoch ESET predvolene vypnutá. Keďže infekcie UEFI sú veľmi špecifické pre firmvér hardvéru, ktorý napadnú, ESET ich dokáže len detegovať a informovať o nájdenej detekcii. UEFI sa kontroluje len pri počiatočnej kontrole pri štarte počítača alebo pri manuálne spustenej kontrole v prípade, že je zvolená možnosť Zavádzacie sektory/UEFI.
Ak sa vám problém nepodarilo vyriešiť, kontaktujte technickú podporu spoločnosti ESET.
