Το BlackLotus, το πρώτο κακόβουλο λογισμικό που παρακάμπτει την Ασφαλή εκκίνηση της Microsoft (ακόμη και σε πλήρως επιδιορθωμένα συστήματα), θα δημιουργήσει copycats και, διαθέσιμο σε ένα εύχρηστο bootkit στο Dark Web, θα εμπνεύσει τους εισβολείς υλικολογισμικού να αυξήσουν τη δραστηριότητά τους. δήλωσαν ειδικοί σε θέματα ασφάλειας αυτή την εβδομάδα.
Αυτό σημαίνει ότι οι εταιρείες πρέπει να αυξήσουν τις προσπάθειες για την επικύρωση της ακεραιότητας των διακομιστών, των φορητών υπολογιστών και των σταθμών εργασίας τους, από τώρα.
Την 1η Μαρτίου, η εταιρεία κυβερνοασφάλειας ESET δημοσίευσε μια ανάλυση του Bootkit BlackLotus, το οποίο παρακάμπτει μια θεμελιώδη δυνατότητα ασφαλείας των Windows που είναι γνωστή ως Ασφαλής εκκίνηση ενοποιημένης επεκτάσιμης διεπαφής υλικολογισμικού (UEFI). Η Microsoft παρουσίασε το Secure Boot πριν από μια δεκαετία και πλέον θεωρείται ένα από τα τα θεμέλια του πλαισίου Zero Trust για Windows λόγω της δυσκολίας να το ανατρέψει.
Ωστόσο, οι φορείς απειλών και οι ερευνητές ασφαλείας έχουν στοχεύσει τις εφαρμογές Secure Boot όλο και περισσότερο και για καλό λόγο: Επειδή το UEFI είναι το χαμηλότερο επίπεδο υλικολογισμικού σε ένα σύστημα (υπεύθυνο για τη διαδικασία εκκίνησης), η εύρεση ευπάθειας στον κώδικα διεπαφής επιτρέπει εισβολέα να εκτελέσει κακόβουλο λογισμικό προτού ο πυρήνας του λειτουργικού συστήματος, οι εφαρμογές ασφαλείας και οποιοδήποτε άλλο λογισμικό μπορούν να τεθούν σε λειτουργία. Αυτό διασφαλίζει την εμφύτευση επίμονου κακόβουλου λογισμικού που δεν θα εντοπίσουν οι κανονικοί πράκτορες ασφαλείας. Προσφέρει επίσης τη δυνατότητα εκτέλεσης σε λειτουργία πυρήνα, ελέγχου και ανατροπής κάθε άλλου προγράμματος στο μηχάνημα — ακόμη και μετά από επανεγκατάσταση του λειτουργικού συστήματος και αντικατάσταση σκληρού δίσκου — και τη φόρτωση πρόσθετου κακόβουλου λογισμικού σε επίπεδο πυρήνα.
Υπήρξαν κάποιες προηγούμενες ευπάθειες στην τεχνολογία εκκίνησης, όπως π.χ το ελάττωμα BootHole που αποκαλύφθηκε το 2020 που επηρέασε τον GRUB2 του bootloader Linux και ένα ελάττωμα υλικολογισμικού σε πέντε μοντέλα φορητών υπολογιστών Acer που θα μπορούσε να χρησιμοποιηθεί για την απενεργοποίηση της Ασφαλούς εκκίνησης. Το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ και το Υπουργείο Εμπορίου ακόμη και πρόσφατα προειδοποίησε για την επίμονη απειλή που παρουσιάζονται από τα rootkits και τα bootkits υλικολογισμικού σε ένα προσχέδιο έκθεσης σχετικά με ζητήματα ασφάλειας της εφοδιαστικής αλυσίδας. Αλλά η BlackLotus αυξάνει σημαντικά τα στοιχήματα σε θέματα υλικολογισμικού.
Αυτό συμβαίνει επειδή ενώ η Microsoft διορθώνει το ελάττωμα που στοχεύει το BlackLotus (μια ευπάθεια γνωστή ως Baton Drop ή CVE-2022-21894), η ενημερωμένη έκδοση κώδικα κάνει την εκμετάλλευση πιο δύσκολη - όχι αδύνατη. Και ο αντίκτυπος της ευπάθειας θα είναι δύσκολο να μετρηθεί, επειδή οι χρήστες που επηρεάζονται πιθανότατα δεν θα δουν σημάδια συμβιβασμού, σύμφωνα με μια προειδοποίηση από το Eclypsium που δημοσιεύτηκε αυτήν την εβδομάδα.
«Αν ένας εισβολέας καταφέρει να αποκτήσει έδαφος, οι εταιρείες θα μπορούσαν να τυφλωθούν, γιατί μια επιτυχημένη επίθεση σημαίνει ότι ένας εισβολέας κατακτά όλες τις παραδοσιακές άμυνες ασφαλείας σας», λέει ο Paul Asadoorian, κύριος ευαγγελιστής ασφαλείας στο Eclypsium. «Μπορούν να απενεργοποιήσουν την καταγραφή και ουσιαστικά να πουν ψέματα σε κάθε είδους αμυντικό αντίμετρο που μπορεί να έχετε στο σύστημα για να σας πουν ότι όλα είναι εντάξει».
Τώρα που το BlackLotus έχει εμπορευματοποιηθεί, ανοίγει το δρόμο για την ανάπτυξη παρόμοιων προϊόντων, σημειώνουν οι ερευνητές. «Αναμένουμε να δούμε περισσότερες ομάδες απειλών που θα ενσωματώνουν ασφαλείς παρακάμψεις εκκίνησης στο οπλοστάσιό τους στο μέλλον», λέει ο Martin Smolár, ερευνητής κακόβουλου λογισμικού στην ESET. «Ο απώτερος στόχος κάθε παράγοντα απειλής είναι η επιμονή στο σύστημα και με την επιμονή του UEFI, μπορούν να λειτουργήσουν πολύ πιο κρυφά από ό,τι με οποιοδήποτε άλλο είδος επιμονής σε επίπεδο λειτουργικού συστήματος».
Η διόρθωση δεν είναι αρκετή
Παρόλο που η Microsoft διορθώθηκε το Baton Drop πριν από περισσότερο από ένα χρόνο, το πιστοποιητικό της ευάλωτης έκδοσης παραμένει σε ισχύ, σύμφωνα με το Eclypsium. Οι εισβολείς με πρόσβαση σε ένα παραβιασμένο σύστημα μπορούν να εγκαταστήσουν έναν ευάλωτο bootloader και στη συνέχεια να εκμεταλλευτούν την ευπάθεια, αποκτώντας επιμονή και ένα πιο προνομιακό επίπεδο ελέγχου.
Η Microsoft διατηρεί μια λίστα κρυπτογραφικών κατακερματισμών των νόμιμων προγραμμάτων εκκίνησης Secure Boot. Για να αποτραπεί η λειτουργία του ευάλωτου φορτωτή εκκίνησης, η εταιρεία θα έπρεπε να ανακαλέσει τον κατακερματισμό, αλλά αυτό θα εμπόδιζε επίσης τα νόμιμα — αν και μη επιδιορθωμένα — συστήματα να λειτουργούν.
"Για να διορθώσετε αυτό, πρέπει να ανακαλέσετε τους κατακερματισμούς αυτού του λογισμικού για να πείτε στο Secure Boot και στην εσωτερική διαδικασία της Microsoft ότι αυτό το λογισμικό δεν είναι πλέον έγκυρο στη διαδικασία εκκίνησης", λέει ο Asadoorian. «Θα έπρεπε να εκδώσουν την ανάκληση, να ενημερώσουν τη λίστα ανάκλησης, αλλά δεν το κάνουν αυτό, γιατί θα έσπασε πολλά πράγματα».
Το καλύτερο που μπορούν να κάνουν οι εταιρείες είναι να ενημερώνουν τακτικά τις λίστες υλικολογισμικού και ανάκλησης και να παρακολουθούν τα τελικά σημεία για ενδείξεις ότι ένας εισβολέας έχει κάνει τροποποιήσεις, ανέφερε η Eclypsium στη συμβουλή της.
Ο Smolár της ESET, ο οποίος ηγήθηκε της προηγούμενης έρευνας στο BlackLotus, είπε σε δήλωση της 1ης Μαρτίου να περιμένουμε να αυξηθεί η εκμετάλλευση.
«Ο μικρός αριθμός δειγμάτων BlackLotus που μπορέσαμε να λάβουμε, τόσο από δημόσιες πηγές όσο και από την τηλεμετρία μας, μας κάνει να πιστεύουμε ότι δεν έχουν αρχίσει να το χρησιμοποιούν πολλοί παράγοντες απειλών», είπε. «Ανησυχούμε ότι τα πράγματα θα αλλάξουν γρήγορα εάν αυτό το bootkit έλθει στα χέρια ομάδων εγκληματικού λογισμικού, με βάση την εύκολη ανάπτυξη του bootkit και τις δυνατότητες των ομάδων εγκληματικού λογισμικού για τη διάδοση κακόβουλου λογισμικού χρησιμοποιώντας τα botnet τους».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up
- :είναι
- $UP
- 1
- 7
- a
- ικανότητα
- Ικανός
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- acer
- Ενέργειες
- δραστηριότητα
- φορείς
- Πρόσθετος
- συμβουλευτικός
- Μετά το
- παράγοντες
- Όλα
- επιτρέπει
- Αν και
- ανάλυση
- και
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- Οπλοστάσιο
- AS
- At
- επίθεση
- διαθέσιμος
- βασίζονται
- βάση
- BE
- επειδή
- πριν
- Πιστεύω
- ΚΑΛΎΤΕΡΟΣ
- botnets
- Διακοπή
- by
- CAN
- δυνατότητες
- πιστοποιητικό
- αλυσίδα
- αλλαγή
- κωδικός
- Εμπόριο
- Εταιρείες
- εταίρα
- συμβιβασμός
- Συμβιβασμένος
- ενδιαφερόμενος
- θεωρούνται
- έλεγχος
- θα μπορούσε να
- δημιουργία
- κρυπτογραφικό
- Κυβερνασφάλεια
- σκοτάδι
- Dark Web
- δεκαετία
- αμυντικός
- Τμήμα
- Υπουργείο Εσωτερικής Ασφάλειας
- ανάπτυξη
- Ανάπτυξη
- δύσκολος
- Δυσκολία
- πράξη
- προσχέδιο
- αυτοκίνητο
- Πτώση
- Νωρίτερα
- εύκολο στη χρήση
- προσπάθειες
- εξασφαλίζει
- κατ 'ουσίαν,
- Ευαγγελιστής
- Even
- Κάθε
- πάντα
- εκτελέσει
- αναμένω
- εμπειρογνώμονες
- Εκμεταλλεύομαι
- εκμετάλλευση
- Χαρακτηριστικό
- εύρεση
- Εταιρεία
- Όνομα
- σταθερός
- ελάττωμα
- ακολουθείται
- Για
- Ιδρύματα
- Πλαίσιο
- από
- πλήρως
- θεμελιώδης
- μελλοντικός
- κερδίζει
- παίρνω
- να πάρει
- γκολ
- καλός
- Ομάδα
- τα χέρια
- Σκληρά
- σκληρό δίσκο
- χασίσι
- Έχω
- πατρίδα
- Εσωτερικής Ασφάλειας
- HTTPS
- Επίπτωση
- αδύνατος
- in
- ενσωματώνοντας
- Αυξάνουν
- ενδείξεις
- εμπνεύσει
- εγκαθιστώ
- ακεραιότητα
- περιβάλλον λειτουργίας
- εσωτερικός
- εισήγαγε
- ζήτημα
- θέματα
- IT
- ΤΟΥ
- jpg
- Είδος
- γνωστός
- laptop
- φορητούς υπολογιστές
- Οδηγεί
- Επίπεδο
- Πιθανός
- linux
- Λιστα
- Λίστες
- φορτίο
- φορτωτής
- πλέον
- Παρτίδα
- Χαμηλός
- χαμηλότερο επίπεδο
- μηχανή
- που
- διατηρεί
- ΚΑΝΕΙ
- malware
- διαχείριση
- πολοί
- Μάρτιος
- Μάρτιος 1
- Μάρτιν
- max-width
- μέσα
- μέτρο
- Microsoft
- ενδέχεται να
- Τρόπος
- τροποποιήσεις
- Παρακολούθηση
- περισσότερο
- Ανάγκη
- κανονικός
- αριθμός
- αποκτήσει
- of
- προσφορές
- Καλά
- on
- ONE
- λειτουργούν
- λειτουργίας
- το λειτουργικό σύστημα
- πρωτότυπο
- OS
- ΑΛΛΑ
- δική
- Patch
- Παύλος
- επιμονή
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πρόληψη
- προηγούμενος
- Κύριος
- προνομιούχος
- διαδικασια μας
- Πρόγραμμα
- δημόσιο
- δημοσιεύθηκε
- Δημοσιεύσεις
- γρήγορα
- Αναβαθμίδα
- ταχέως
- RE
- λόγος
- πρόσφατα
- τακτικός
- λείψανα
- αναφέρουν
- ερευνητής
- ερευνητές
- υπεύθυνος
- τρέξιμο
- s
- Είπε
- λέει
- προστατευμένο περιβάλλον
- ασφάλεια
- Διακομιστές
- σειρά
- θα πρέπει να
- σημαντικά
- Σημάδια
- παρόμοιες
- λογισμικό
- μερικοί
- Πηγή
- Πηγές
- Διάδοση
- ξεκίνησε
- Ξεκινήστε
- επιτυχής
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- σύστημα
- συστήματα
- στοχευμένες
- στόχους
- Τεχνολογία
- ότι
- Η
- Το μέλλον
- τους
- πράγματα
- αυτή την εβδομάδα
- απειλή
- απειλή
- χρονοδιάγραμμα
- προς την
- παραδοσιακός
- Εμπιστευθείτε
- Πλαίσιο ΕΜΠΙΣΤΟΣΥΝΗΣ
- ΣΤΡΟΦΗ
- τελικός
- ενιαία
- Ενημέρωση
- UPS
- us
- Χρήστες
- ΕΠΙΚΥΡΩΝΩ
- εκδοχή
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- προειδοποίηση
- Τρόπος..
- ιστός
- εβδομάδα
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- παράθυρα
- με
- εργαζόμενος
- θα
- έτος
- Εσείς
- Σας
- zephyrnet
- μηδέν
- μηδενική αξιοπιστία