BlackLotus Secure Boot Bypass Malware indstillet til at rampe op

BlackLotus, den første in-the-wild malware til at omgå Microsofts Secure Boot (selv på fuldt patchede systemer), vil afføde copycats og, tilgængeligt i et letanvendeligt bootkit på Dark Web, inspirere firmwareangribere til at øge deres aktivitet, sagde sikkerhedseksperter i denne uge.

Det betyder, at virksomheder skal øge indsatsen for at validere integriteten af ​​deres servere, bærbare computere og arbejdsstationer, fra nu af.

Den 1. marts offentliggjorde cybersikkerhedsfirmaet ESET en analyse af BlackLotus bootkit, som omgår en grundlæggende Windows-sikkerhedsfunktion kendt som Unified Extensible Firmware Interface (UEFI) Secure Boot. Microsoft introducerede Secure Boot for mere end ti år siden, og det betragtes nu som en af ​​dem grundlaget for dets Zero Trust-ramme til Windows på grund af vanskeligheden ved at undergrave den.

Alligevel har trusselsaktører og sikkerhedsforskere målrettet Secure Boot-implementeringer mere og mere, og med god grund: Fordi UEFI er det laveste niveau af firmware på et system (ansvarlig for opstartsprocessen), giver det at finde en sårbarhed i grænsefladekoden en angriber til at udføre malware, før operativsystemets kerne, sikkerhedsapps og enhver anden software kan gå i gang. Dette sikrer implantation af vedvarende malware, som normale sikkerhedsagenter ikke vil opdage. Det giver også mulighed for at køre i kernetilstand, at kontrollere og undergrave alle andre programmer på maskinen - selv efter OS geninstallationer og harddiskudskiftninger - og indlæse yderligere malware på kerneniveau.

Der har været nogle tidligere sårbarheder i boot-teknologi, som f.eks BootHole-fejlen, der blev afsløret i 2020 der påvirkede Linux bootloader GRUB2, og en firmwarefejl i fem Acer bærbare modeller der kunne bruges til at deaktivere Secure Boot. Det amerikanske Department of Homeland Security og Department of Commerce endda for nylig advaret om den vedvarende trussel fremsat af firmware-rootkits og bootkits i et udkast til rapport om forsyningskædesikkerhedsproblemer. Men BlackLotus øger indsatsen på firmwareproblemer markant.

Det er fordi, mens Microsoft retter fejlen, som BlackLotus er rettet mod (en sårbarhed kendt som Baton Drop eller CVE-2022-21894), gør patchen kun udnyttelse sværere - ikke umuligt. Og virkningen af ​​sårbarheden vil være svær at måle, fordi berørte brugere sandsynligvis ikke vil se tegn på kompromis, ifølge en advarsel fra Eclypsium offentliggjort i denne uge.

"Hvis det lykkes en angriber at få fodfæste, kan virksomheder køre blinde, fordi et vellykket angreb betyder, at en angriber kommer uden om alle dine traditionelle sikkerhedsforsvar," siger Paul Asadoorian, ledende sikkerhedsevangelist hos Eclypsium. "De kan slå logning fra og i det væsentlige lyve over for alle slags defensive modforanstaltninger, du måtte have på systemet for at fortælle dig, at alt er okay."

Nu hvor BlackLotus er blevet kommercialiseret, baner det vejen for udviklingen af ​​lignende varer, bemærker forskere. "Vi forventer at se flere trusselsgrupper, der inkorporerer sikker boot-bypass i deres arsenal i fremtiden," siger Martin Smolár, malware-forsker hos ESET. "Enhver trusselsaktørs ultimative mål er vedholdenhed på systemet, og med UEFI-vedholdenhed kan de fungere meget mere snigende end med nogen anden form for vedholdenhed på OS-niveau."

Patching er ikke nok

Selvom Microsoft lappede Baton Drop for mere end et år siden, forbliver certifikatet for den sårbare version gyldigt, ifølge Eclypsium. Angribere med adgang til et kompromitteret system kan installere en sårbar bootloader og derefter udnytte sårbarheden, opnå vedholdenhed og et mere privilegeret kontrolniveau.

Microsoft vedligeholder en liste over kryptografiske hashes af legitime Secure Boot-bootloadere. For at forhindre den sårbare opstartsindlæser i at virke, ville virksomheden være nødt til at tilbagekalde hashen, men det ville også forhindre legitime - selvom ikke-patchede - systemer i at fungere.

"For at rette op på dette er du nødt til at tilbagekalde hasherne for den software for at fortælle Secure Boot og Microsofts egen interne proces, at den software ikke længere er gyldig i opstartsprocessen," siger Asadoorian. "De ville være nødt til at udstede tilbagekaldelsen, opdatere tilbagekaldelseslisten, men det gør de ikke, fordi det ville ødelægge en masse ting."

Det bedste, virksomheder kan gøre, er at opdatere deres firmware og tilbagekaldelseslister regelmæssigt og overvåge slutpunkter for indikationer på, at en angriber har foretaget ændringer, sagde Eclypsium i sin rådgivning.

ESETs Smolár, der ledet den tidligere undersøgelse ind i BlackLotus, sagde i en erklæring 1. marts at forvente, at udnyttelsen vil stige.

"Det lave antal BlackLotus-prøver, vi har været i stand til at få, både fra offentlige kilder og vores telemetri, får os til at tro, at ikke mange trusselsaktører er begyndt at bruge det endnu," sagde han. "Vi er bekymrede for, at tingene vil ændre sig hurtigt, hvis dette bootkit kommer i hænderne på kriminalitetsgrupper, baseret på bootkittets nemme implementering og kriminalitetsgruppers muligheder for at sprede malware ved hjælp af deres botnet."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up