BlackLotus Secure Boot Bypass Malware Diatur ke Peningkatan

BlackLotus, malware in-the-wild pertama yang melewati Boot Aman Microsoft (bahkan pada sistem yang ditambal sepenuhnya), akan menelurkan peniru dan, tersedia dalam bootkit yang mudah digunakan di Web Gelap, menginspirasi penyerang firmware untuk meningkatkan aktivitas mereka, kata pakar keamanan minggu ini.

Artinya, perusahaan perlu meningkatkan upaya untuk memvalidasi integritas server, laptop, dan workstation mereka, mulai sekarang.

Pada 1 Maret, perusahaan keamanan siber ESET menerbitkan analisis tentang Perangkat boot BlackLotus, yang melewati fitur keamanan dasar Windows yang dikenal sebagai Unified Extensible Firmware Interface (UEFI) Secure Boot. Microsoft memperkenalkan Boot Aman lebih dari satu dekade lalu, dan sekarang dianggap sebagai salah satunya dasar kerangka kerja Zero Trust untuk Windows karena sulitnya untuk menolaknya.

Namun pelaku ancaman dan peneliti keamanan semakin menargetkan implementasi Boot Aman, dan untuk alasan yang bagus: Karena UEFI adalah level firmware terendah pada sistem (bertanggung jawab atas proses booting), menemukan kerentanan dalam kode antarmuka memungkinkan penyerang untuk mengeksekusi malware sebelum kernel sistem operasi, aplikasi keamanan, dan perangkat lunak lainnya dapat beraksi. Ini memastikan penanaman malware terus-menerus yang tidak akan terdeteksi oleh agen keamanan biasa. Ini juga menawarkan kemampuan untuk mengeksekusi dalam mode kernel, untuk mengontrol dan menumbangkan setiap program lain di mesin — bahkan setelah menginstal ulang OS dan mengganti hard drive — dan memuat malware tambahan di level kernel.

Ada beberapa kerentanan sebelumnya dalam teknologi boot, seperti cacat BootHole terungkap pada tahun 2020 yang memengaruhi bootloader Linux GRUB2, dan cacat firmware di lima model laptop Acer yang dapat digunakan untuk menonaktifkan Boot Aman. Departemen Keamanan Dalam Negeri AS dan Departemen Perdagangan bahkan baru-baru ini memperingatkan tentang ancaman terus-menerus ditimbulkan oleh rootkit firmware dan bootkit dalam draf laporan tentang masalah keamanan rantai pasokan. Tapi BlackLotus meningkatkan taruhannya pada masalah firmware secara signifikan.

Itu karena sementara Microsoft menambal kelemahan yang ditargetkan BlackLotus (kerentanan yang dikenal sebagai Baton Drop atau CVE-2022-21894), tambalan hanya membuat eksploitasi menjadi lebih sulit — bukan tidak mungkin. Dan dampak dari kerentanan akan sulit diukur, karena pengguna yang terkena kemungkinan tidak akan melihat tanda-tanda kompromi, menurut peringatan dari Eclypsium yang diterbitkan minggu ini.

“Jika seorang penyerang berhasil mendapatkan pijakan, perusahaan dapat menjadi buta, karena serangan yang berhasil berarti penyerang berhasil melewati semua pertahanan keamanan tradisional Anda,” kata Paul Asadoorian, penginjil keamanan utama di Eclypsium. “Mereka dapat mematikan logging, dan pada dasarnya berbohong pada setiap jenis tindakan pencegahan defensif yang mungkin Anda miliki di sistem untuk memberi tahu Anda bahwa semuanya baik-baik saja.”

Sekarang BlackLotus telah dikomersialkan, ini membuka jalan bagi pengembangan barang serupa, catat para peneliti. “Kami berharap akan melihat lebih banyak kelompok ancaman yang menggabungkan jalan pintas boot aman ke dalam gudang senjata mereka di masa mendatang,” kata Martin Smolár, peneliti malware di ESET. “Tujuan akhir setiap aktor ancaman adalah kegigihan pada sistem, dan dengan kegigihan UEFI, mereka dapat beroperasi jauh lebih tersembunyi daripada jenis kegigihan tingkat OS lainnya.”

Menambal Tidak Cukup

Meskipun Microsoft menambal Baton Drop lebih dari setahun yang lalu, sertifikat versi yang rentan tetap berlaku, menurut Eclipsium. Penyerang dengan akses ke sistem yang dikompromikan dapat menginstal bootloader yang rentan dan kemudian mengeksploitasi kerentanan tersebut, mendapatkan kegigihan dan tingkat kontrol yang lebih istimewa.

Microsoft menyimpan daftar hash kriptografi bootloader Boot Aman yang sah. Untuk mencegah boot loader yang rentan bekerja, perusahaan harus mencabut hash, tetapi itu juga akan mencegah sistem yang sah - meskipun belum ditambal - bekerja.

“Untuk memperbaikinya, Anda harus mencabut hash perangkat lunak tersebut untuk memberi tahu Secure Boot dan proses internal Microsoft sendiri bahwa perangkat lunak tersebut tidak lagi valid dalam proses booting,” kata Asadoorian. “Mereka harus mengeluarkan pencabutan, memperbarui daftar pencabutan, tetapi mereka tidak melakukannya, karena itu akan merusak banyak hal.”

Yang terbaik yang dapat dilakukan perusahaan adalah memperbarui firmware dan daftar pencabutan mereka secara teratur, dan memantau titik akhir untuk indikasi bahwa penyerang telah melakukan modifikasi, kata Eclypsium dalam nasihatnya.

Smolár ESET, siapa memimpin penyelidikan sebelumnya ke BlackLotus, mengatakan dalam pernyataan 1 Maret mengharapkan eksploitasi meningkat.

“Jumlah kecil sampel BlackLotus yang dapat kami peroleh, baik dari sumber publik maupun telemetri kami, membuat kami percaya bahwa belum banyak pelaku ancaman yang mulai menggunakannya,” katanya. “Kami khawatir bahwa hal-hal akan berubah dengan cepat jika bootkit ini jatuh ke tangan kelompok crimeware, berdasarkan penyebaran bootkit yang mudah dan kemampuan kelompok crimeware untuk menyebarkan malware menggunakan botnet mereka.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up