[KB6567] ESET deteguje škodlivý kód v UEFI

Problém

Podrobnosti


Kliknutím rozbaľte

Detekcie v UEFI

Keďže malvér prítomný v UEFI je veľmi špecifický a viazaný na firmvér konkrétneho hardvéru, váš produkt ESET takúto detekciu nedokáže odstrániť. Existujú však kroky, ktorými môžete dosiahnuť nápravu. Nájdete ich v sekcii Riešenie.

UEFI predstavuje firmvér, ktorý sa načíta do pamäte na začiatku procesu zavádzania systému pri štarte počítača. Je uložený na pamäťovom čipe, ktorý je osadený priamo na základnej doske počítača. Ak útočník infikuje firmvér UEFI, dokáže nasadiť škodlivý kód, ktorý je odolný voči preinštalovaniu operačného systému, reštartom systému či fyzickej výmene systémového disku. Takto ukrytý škodlivý kód navyše nemusia bezpečnostné riešenia zachytiť, pretože väčšina z nich firmvér UEFI nekontroluje.

Predstavením funkcie Kontrola UEFI, ktorá vyhľadáva hrozby už na najnižšej systémovej úrovni firmvéru, spoločnosť ESET ako prvá poskytla vrstvu zabezpečenia chrániacu pred UEFI bootkitmi. 

Kontrola UEFI je súčasťou nasledujúcich bezpečnostných produktov od spoločnosti ESET:

  • ESET Mail Security for Microsoft Exchange Server (verzia 7 a novšie)
  • ESET File Security for Microsoft Windows Server (verzia 7 a novšie)
  • ESET Security for Microsoft SharePoint Server (verzia 7 a novšie)
  • ESET Mail Security for IBM Domino (verzia 7 a novšie)
  • ESET Smart Security Premium (verzia 11 a novšie)
  • ESET Internet Security (verzia 11 a novšie)
  • ESET NOD32 Antivirus (verzia 11 a novšie)
  • ESET Endpoint Security/Antivirus (verzia 7 a novšie)

Riešenie

Riešenie detekcií v UEFI

Ak nemáte skúsenosti s UEFI

Ak nemáte skúsenosti s nastavením UEFI, procesom aktualizácie a tzv. flashovaním, odporúčame obrátiť sa na skúseného odborníka, ktorý vám s týmto postupom pomôže.

Firemní používatelia verzie 7:

Zadajte názov detekcie (napríklad EFI/CompuTrace.A).

Obrázok 1-2
  • Vypnite detekciu potenciálne nebezpečných aplikácií vo svojom produkte ESET.

Domáci používatelia: Konfigurácia detekcie potenciálne nechcených, nebezpečných a podozrivých aplikácií v produkte ESET

Firemní používatelia: Zapnutie alebo vypnutie detekcie potenciálne nechcených/nebezpečných aplikácií na koncových zariadeniach pomocou konzoly ESET PROTECT


Ako ochrániť počítač pred škodlivým kódom v UEFI

  • Používajte počítač s najnovšou čipovou súpravou
    Skontrolujte, či všetky vaše systémy majú moderné čipové súpravy s komponentom Platform Controller Hub (čipové súpravy počnúc sériou Intel 5).

  • Uistite sa, že váš počítač má aktívny Secure Boot 
    Malvér v UEFI býva zvyčajne nesprávne podpísaný. Zapnutá technológia Secure Boot (Bezpečné spúšťanie) mu zabráni v načítaní a infikovaní počítača.

  • Aktualizujte firmvér UEFI v počítači
    Aktualizáciu firmvéru UEFI odporúčame vykonať aj v prípade, že vás systém na detekciu neupozorní. Takéto preventívne opatrenie môže pomôcť minimalizovať riziko infekcie UEFI.

ESET deteguje škodlivý kód alebo aplikáciu v UEFI

Kontrola UEFI je súčasťou najnovších verzií produktov ESET. Zoznam produktov, v ktorých je Kontrola UEFI dostupná, nájdete vyššie v sekcii Podrobnosti.

Detekcia potenciálne nebezpečných alebo nechcených aplikácií je v produktoch ESET predvolene vypnutá. Keďže infekcie UEFI sú veľmi špecifické pre firmvér hardvéru, ktorý napadnú, ESET ich dokáže len detegovať a informovať o nájdenej detekcii. UEFI sa kontroluje len pri počiatočnej kontrole pri štarte počítača alebo pri manuálne spustenej kontrole v prípade, že je zvolená možnosť Zavádzacie sektory/UEFI.

Obrázok 2-1

Ak sa vám problém nepodarilo vyriešiť, kontaktujte technickú podporu spoločnosti ESET.