BlackLotus Secure Boot Bypass pahavara on kiirendatud

BlackLotus, esimene metsik pahavara, mis läheb mööda Microsofti turvalisest alglaadimisest (isegi täielikult paigatud süsteemides), tekitab kopeerijaid ja, mis on saadaval pimedas veebis hõlpsasti kasutatavas alglaadimiskomplektis, inspireerib püsivara ründajaid oma aktiivsust suurendama. ütlesid turvaeksperdid sel nädalal.

See tähendab, et ettevõtted peavad suurendama jõupingutusi oma serverite, sülearvutite ja tööjaamade terviklikkuse kinnitamiseks, alustades kohe.

1. märtsil avaldas küberturvalisuse ettevõte ESET analüüsi BlackLotuse alglaadimiskomplekt, mis läheb mööda põhilisest Windowsi turbefunktsioonist, mida tuntakse UEFI (Unified Extensible Firmware Interface) turvalise alglaadimise nime all. Microsoft tutvustas turvalist alglaadimist rohkem kui kümme aastat tagasi ja nüüd peetakse seda üheks selle Windowsi Zero Trust raamistiku alused sest seda on raske õõnestada.

Ometi on ohus osalejad ja turbeuurijad võtnud sihikule Secure Booti juurutused üha enam ja mõjuval põhjusel: kuna UEFI on süsteemi madalaim püsivara tase (vastutab algkäivitusprotsessi eest), võimaldab liidese koodis haavatavuse leidmine ründaja käivitada pahavara enne, kui operatsioonisüsteemi tuum, turvarakendused ja mis tahes muu tarkvara jõuavad tööle hakata. See tagab püsiva pahavara siirdamise, mida tavalised turbeagendid ei tuvasta. See pakub ka võimalust käivitada kerneli režiimis, juhtida ja õõnestada kõiki teisi masinas olevaid programme – isegi pärast OS-i uuesti installimist ja kõvaketta vahetamist – ning laadida kerneli tasemel täiendavat pahavara.

Alglaadimistehnoloogias on olnud varasemaid turvaauke, nt BootHole'i ​​viga avalikustati 2020. aastal mis mõjutas Linuxi alglaadurit GRUB2 ja püsivara viga viies Aceri sülearvuti mudelis mida saab kasutada turvalise alglaadimise keelamiseks. USA sisejulgeolekuministeerium ja kaubandusministeerium isegi hiljuti hoiatas püsiva ohu eest tarneahela turbeprobleeme käsitlevas aruande projektis esitasid püsivara juurkomplektid ja alglaadimiskomplektid. Kuid BlackLotus suurendab oluliselt püsivaraprobleemide panust.

Selle põhjuseks on asjaolu, et kuigi Microsoft parandas BlackLotuse sihitud vea (haavatavus, mida nimetatakse Baton Dropiks või CVE-2022-21894), muudab plaaster kasutamise ainult keerulisemaks – mitte võimatuks. Eclypsiumi sel nädalal avaldatud hoiatuse kohaselt on haavatavuse mõju raske mõõta, sest mõjutatud kasutajad ei näe tõenäoliselt kompromissi märke.

"Kui ründajal õnnestub jalad alla saada, võivad ettevõtted jääda pimedaks, sest edukas rünnak tähendab, et ründaja pääseb mööda kõigist teie traditsioonilistest turvameetmetest," ütleb Eclypsiumi peamine turvaevangelist Paul Asadoorian. "Nad võivad logimise välja lülitada ja sisuliselt valetada igat tüüpi kaitsemeetmetele, mis teil süsteemis võivad olla, et öelda, et kõik on korras."

Nüüd, kui BlackLotus on kommertsialiseerunud, sillutab see teed sarnaste toodete väljatöötamiseks, märgivad teadlased. "Ootame tulevikus näha rohkem ohurühmi, mis lisavad oma arsenali turvalise alglaadimise möödaviigud," ütleb ESET-i pahavara uurija Martin Smolár. "Iga ohus osaleja lõppeesmärk on püsivus süsteemis ja UEFI püsivuse korral saavad nad töötada palju vargasemalt kui mis tahes muu OS-i tasemel püsivusega."

Lappimisest ei piisa

Kuigi Microsoft parandas Baton Dropi rohkem kui aasta tagasi, jääb haavatava versiooni sertifikaat kehtima, Eclypsiumi järgi. Ründajad, kellel on juurdepääs ohustatud süsteemile, saavad installida haavatava alglaaduri ja seejärel haavatavust ära kasutada, saavutades püsivuse ja privilegeeritud kontrollitaseme.

Microsoft haldab seaduslike Secure Boot alglaadurite krüptograafiliste räside loendit. Et vältida haavatava alglaaduri töötamist, peaks ettevõte räsi tühistama, kuid see takistaks ka legitiimsete, kuigi paigatamata süsteemide töötamist.

"Selle parandamiseks peate tühistama selle tarkvara räsid, et anda Secure Bootile ja Microsofti sisemisele protsessile teada, et see tarkvara alglaadimisprotsessis enam ei kehti, " ütleb Asadoorian. "Nad peaksid väljastama tühistamise, uuendama tühistamiste nimekirja, kuid nad ei tee seda, sest see rikuks paljusid asju."

Parim, mida ettevõtted saavad teha, on regulaarselt värskendada oma püsivara ja tühistamiste loendeid ning jälgida lõpp-punkte, et leida märke, et ründaja on teinud muudatusi, ütles Eclypsium oma nõuandes.

ESETi Smolár, kes juhtis varasemat uurimist BlackLotusesse, ütles 1. märtsi avalduses eeldada ärakasutamise hoogustumist.

"BlackLotuse proovide väike arv, mida oleme suutnud hankida nii avalikest allikatest kui ka meie telemeetriast, paneb meid uskuma, et paljud ohus osalejad pole seda veel kasutama hakanud," ütles ta. "Oleme mures, et asjad muutuvad kiiresti, kui see alglaadimiskomplekt peaks sattuma kuriteovararühmade kätte, tuginedes alglaadimiskomplekti hõlpsale juurutamisele ja kuriteovararühmade võimetele levitada pahavara oma botnettide kaudu."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up