BlackLotus Secure Boot Bypass Malware configurado para aumentar

BlackLotus, el primer malware en estado salvaje que elude el Arranque seguro de Microsoft (incluso en sistemas con parches completos), generará copias y, disponible en un kit de arranque fácil de usar en la Dark Web, inspirará a los atacantes de firmware a aumentar su actividad. dijeron expertos en seguridad esta semana.

Eso significa que las empresas deben aumentar los esfuerzos para validar la integridad de sus servidores, computadoras portátiles y estaciones de trabajo, a partir de ahora.

El 1 de marzo, la firma de ciberseguridad ESET publicó un análisis de la Kit de arranque BlackLotus, que omite una función de seguridad fundamental de Windows conocida como Arranque seguro de la interfaz de firmware extensible unificada (UEFI). Microsoft introdujo Secure Boot hace más de una década y ahora se considera uno de los cimientos de su marco Zero Trust para Windows por la dificultad de subvertirlo.

Sin embargo, los actores de amenazas y los investigadores de seguridad se han enfocado cada vez más en las implementaciones de arranque seguro, y por una buena razón: debido a que UEFI es el nivel más bajo de firmware en un sistema (responsable del proceso de arranque), encontrar una vulnerabilidad en el código de la interfaz permite un atacante ejecute malware antes de que el kernel del sistema operativo, las aplicaciones de seguridad y cualquier otro software puedan entrar en acción. Esto asegura la implantación de malware persistente que los agentes de seguridad normales no detectarán. También ofrece la capacidad de ejecutarse en modo kernel, controlar y subvertir cualquier otro programa en la máquina, incluso después de reinstalar el sistema operativo y reemplazar el disco duro, y cargar malware adicional a nivel del kernel.

Ha habido algunas vulnerabilidades anteriores en la tecnología de arranque, como la falla BootHole revelada en 2020 que afectó al gestor de arranque de Linux GRUB2, y una falla de firmware en cinco modelos de portátiles Acer que podría usarse para deshabilitar el arranque seguro. El Departamento de Seguridad Nacional y el Departamento de Comercio de EE. UU. incluso recientemente advirtió sobre la persistente amenaza que plantean los rootkits y bootkits de firmware en un borrador de informe sobre problemas de seguridad de la cadena de suministro. Pero BlackLotus aumenta significativamente la apuesta por los problemas de firmware.

Esto se debe a que, si bien Microsoft reparó la falla a la que apunta BlackLotus (una vulnerabilidad conocida como Baton Drop o CVE-2022-21894), el parche solo hace que la explotación sea más difícil, no imposible. Y el impacto de la vulnerabilidad será difícil de medir, porque es probable que los usuarios afectados no vean signos de compromiso, según una advertencia de Eclypsium publicada esta semana.

“Si un atacante logra establecerse, las empresas podrían estar ciegas, porque un ataque exitoso significa que un atacante está eludiendo todas sus defensas de seguridad tradicionales”, dice Paul Asadoorian, principal evangelista de seguridad en Eclypsium. “Pueden desactivar el registro y esencialmente mentir sobre todo tipo de contramedidas defensivas que pueda tener en el sistema para decirle que todo está bien”.

Ahora que BlackLotus se ha comercializado, allana el camino para el desarrollo de productos similares, señalan los investigadores. “Esperamos ver más grupos de amenazas que incorporen omisiones de arranque seguro en su arsenal en el futuro”, dice Martin Smolár, investigador de malware de ESET. “El objetivo final de cada actor de amenazas es la persistencia en el sistema, y ​​con la persistencia de UEFI, pueden operar mucho más sigilosamente que con cualquier otro tipo de persistencia a nivel del sistema operativo”.

Parchar no es suficiente

Aunque Microsoft parchó Baton Drop hace más de un año, el certificado de la versión vulnerable sigue siendo válido. según Eclypsium. Los atacantes con acceso a un sistema comprometido pueden instalar un cargador de arranque vulnerable y luego explotar la vulnerabilidad, ganando persistencia y un nivel de control más privilegiado.

Microsoft mantiene una lista de hashes criptográficos de cargadores de arranque legítimos de arranque seguro. Para evitar que el cargador de arranque vulnerable funcione, la empresa tendría que revocar el hash, pero eso también evitaría que los sistemas legítimos, aunque sin parches, funcionen.

“Para solucionar esto, debe revocar los valores hash de ese software para decirle al arranque seguro y al propio proceso interno de Microsoft que ese software ya no es válido en el proceso de arranque”, dice Asadoorian. “Tendrían que emitir la revocación, actualizar la lista de revocaciones, pero no lo están haciendo porque rompería muchas cosas”.

Lo mejor que pueden hacer las empresas es actualizar su firmware y sus listas de revocación de forma regular, y monitorear los puntos finales en busca de indicaciones de que un atacante ha realizado modificaciones, dijo Eclypsium en su aviso.

Smolár de ESET, quien dirigió la investigación anterior en loto negro, dijo en un comunicado del 1 de marzo esperar que aumente la explotación.

“La baja cantidad de muestras de BlackLotus que hemos podido obtener, tanto de fuentes públicas como de nuestra telemetría, nos lleva a creer que no muchos actores de amenazas han comenzado a usarlo todavía”, dijo. “Nos preocupa que las cosas cambien rápidamente si este bootkit llega a manos de grupos de crimeware, en función de la fácil implementación del bootkit y las capacidades de los grupos de crimeware para propagar malware mediante sus botnets”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up