Rootkit UEFI
O que é Rootkit UEFI?
Rootkit UEFIRootkit implantado no firmware UEFI que carrega antes do SO, persiste a wipes de disco e contorna a maioria das soluções de segurança de endpoint.
Um rootkit UEFI aloja-se na Unified Extensible Firmware Interface — sucessor moderno do BIOS — normalmente em módulos da flash SPI ou em drivers de arranque. Corre antes do sistema operativo, pelo que pode desativar controlos de segurança, alterar componentes de boot e voltar a instalar outro malware após reinstalações. Estes implantes são geralmente colocados por atores sofisticados via privilégios de kernel, acesso físico ou comprometimento da cadeia de fornecimento. As defesas incluem Secure Boot imposto, atualizações de firmware assinadas, measured boot com atestação TPM, ferramentas de integridade do fabricante (p. ex., CHIPSEC), Boot Guard, proteção de escrita no BIOS e controlos de integridade na cadeia de atualizações de firmware.
● Exemplos
- 01
LoJax, o primeiro rootkit UEFI publicamente conhecido em uso real.
- 02
Bootkits UEFI MoonBounce e BlackLotus dirigidos a empresas.
● Perguntas frequentes
O que é Rootkit UEFI?
Rootkit implantado no firmware UEFI que carrega antes do SO, persiste a wipes de disco e contorna a maioria das soluções de segurança de endpoint. Pertence à categoria Malware da cibersegurança.
O que significa Rootkit UEFI?
Rootkit implantado no firmware UEFI que carrega antes do SO, persiste a wipes de disco e contorna a maioria das soluções de segurança de endpoint.
Como se defender contra Rootkit UEFI?
As defesas contra Rootkit UEFI costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Rootkit UEFI?
Nomes alternativos comuns: Implante UEFI, Bootkit EFI.