BlackLotus Secure Boot Bypass -haittaohjelma asetettu käynnistymään

BlackLotus, ensimmäinen luonnossa esiintyvä haittaohjelma, joka ohittaa Microsoftin Secure Bootin (jopa täysin korjatuissa järjestelmissä), synnyttää kopioita ja, saatavilla Dark Webin helppokäyttöisessä käynnistyspaketissa, innostaa laiteohjelmistohyökkääjiä lisäämään toimintaansa. turvallisuusasiantuntijat sanoivat tällä viikolla.

Tämä tarkoittaa, että yritysten on lisättävä ponnistelujaan palvelimiensa, kannettavien tietokoneidensa ja työasemiensa eheyden varmentamiseksi nyt.

Kyberturvallisuusyritys ESET julkaisi 1. maaliskuuta analyysin BlackLotus bootkit, joka ohittaa Windowsin perustavanlaatuisen suojausominaisuuden, joka tunnetaan nimellä Unified Extensible Firmware Interface (UEFI) Secure Boot. Microsoft esitteli Secure Bootin yli kymmenen vuotta sitten, ja sitä pidetään nykyään yhtenä niistä Windowsin Zero Trust -kehyksen perusta sen kumoamisen vaikeuden takia.

Uhkien toimijat ja tietoturvatutkijat ovat kuitenkin kohdistaneet Secure Boot -toteutuksiin yhä enemmän, ja hyvästä syystä: Koska UEFI on järjestelmän alin laiteohjelmistotaso (vastaa käynnistysprosessista), haavoittuvuuden löytäminen käyttöliittymäkoodista mahdollistaa hyökkääjä suorittaa haittaohjelmia, ennen kuin käyttöjärjestelmän ydin, tietoturvasovellukset ja muut ohjelmistot pääsevät toimimaan. Tämä varmistaa sellaisten pysyvien haittaohjelmien istutuksen, joita normaalit tietoturva-agentit eivät havaitse. Se tarjoaa myös mahdollisuuden suorittaa ydintilassa, hallita ja kumota kaikkia muita koneen ohjelmia – jopa käyttöjärjestelmän uudelleenasennusten ja kiintolevyn vaihdon jälkeen – ja ladata lisää haittaohjelmia ydintasolla.

Käynnistysteknologiassa on ollut joitain aiempia haavoittuvuuksia, kuten vuonna 2020 paljastettu BootHole-virhe joka vaikutti Linuxin käynnistyslataajaan GRUB2 ja laiteohjelmistovirhe viidessä Acerin kannettavassa mallissa jota voidaan käyttää suojatun käynnistyksen poistamiseen käytöstä. Yhdysvaltain sisäisen turvallisuuden ministeriö ja kauppaministeriö jopa äskettäin varoitti jatkuvasta uhasta laiteohjelmiston rootkit- ja bootkit-versiot toimitusketjun turvallisuuskysymyksiä koskevassa raporttiluonnoksessa. Mutta BlackLotus lisää panoksia laiteohjelmistoongelmiin merkittävästi.

Tämä johtuu siitä, että vaikka Microsoft korjasi BlackLotuksen kohteena olevan virheen (haavoittuvuus, joka tunnetaan nimellä Baton Drop tai CVE-2022-21894), korjaustiedosto vain vaikeuttaa hyväksikäyttöä – ei mahdotonta. Eclypsiumin tällä viikolla julkaistun varoituksen mukaan haavoittuvuuden vaikutusta on vaikea mitata, koska käyttäjät eivät todennäköisesti näe merkkejä kompromisseista.

"Jos hyökkääjä onnistuu saamaan jalansijaa, yritykset voivat joutua sokeiksi, koska onnistunut hyökkäys tarkoittaa, että hyökkääjä kiertää kaikki perinteiset suojakeinot", sanoo Paul Asadoorian, Eclypsiumin tärkein turvallisuusevankelista. "He voivat sammuttaa kirjaamisen ja pohjimmiltaan valehdella kaikenlaisille järjestelmän puolustaville vastatoimille kertoakseen, että kaikki on kunnossa."

Nyt kun BlackLotus on kaupallistettu, se tasoittaa tietä vastaavien tuotteiden kehitykselle, tutkijat huomauttavat. "Odotamme näkevämme lisää uhkaryhmiä, jotka sisällyttävät turvallisia käynnistyksen ohituksia arsenaaliinsa tulevaisuudessa", sanoo Martin Smolár, ESETin haittaohjelmien tutkija. "Jokaisen uhkatoimijan perimmäisenä tavoitteena on pysyvyys järjestelmässä, ja UEFI:n pysyvyyden ansiosta he voivat toimia paljon salakavammin kuin millään muulla käyttöjärjestelmätason pysyvyydellä."

Paikkaus ei riitä

Vaikka Microsoft korjasi Baton Dropin yli vuosi sitten, haavoittuvan version sertifikaatti on edelleen voimassa, Eclypsiumin mukaan. Hyökkääjät, joilla on pääsy vaarantuneeseen järjestelmään, voivat asentaa haavoittuvan käynnistyslataimen ja sitten hyödyntää haavoittuvuutta ja saada pysyvyyttä ja etuoikeutetumman hallinnan.

Microsoft ylläpitää luetteloa laillisten Secure Boot -käynnistyslatainten salaustiivisteistä. Jotta haavoittuva käynnistyslatain ei toimisi, yrityksen olisi poistettava hash, mutta se estäisi myös laillisia - vaikkakin korjaamattomia - järjestelmiä toimimasta.

"Tämän korjaamiseksi sinun on poistettava kyseisen ohjelmiston tiivisteet kertoaksesi Secure Bootille ja Microsoftin omalle sisäiselle prosessille, että ohjelmisto ei ole enää kelvollinen käynnistysprosessissa", Asadoorian sanoo. "Heidän olisi annettava peruutus, päivitettävä peruutuslista, mutta he eivät tee sitä, koska se rikkoisi monia asioita."

Parasta, mitä yritykset voivat tehdä, on päivittää laiteohjelmistonsa ja peruutusluettelonsa säännöllisesti ja valvoa päätepisteitä, onko merkkejä siitä, että hyökkääjä on tehnyt muutoksia, Eclypsium sanoi neuvonnassaan.

ESETin Smolár, joka johti aikaisempaa tutkimusta BlackLotukseen, sanoi 1. maaliskuuta antamassaan lausunnossa odottaa hyväksikäytön lisääntyvän.

"Alhainen määrä BlackLotus-näytteitä, joita olemme saaneet sekä julkisista lähteistä että telemetriastamme, saa meidät uskomaan, että monet uhkatoimijat eivät ole vielä alkaneet käyttää sitä", hän sanoi. "Olemme huolissamme siitä, että asiat muuttuvat nopeasti, jos tämä käynnistyspaketti joutuu rikosohjelmaryhmien käsiin, koska bootkit on helppo ottaa käyttöön ja rikosohjelmaryhmien kyky levittää haittaohjelmia bottiverkkojensa avulla."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up