Malware BlackLotus Secure Boot Bypass impostato per aumentare

BlackLotus, il primo malware in-the-wild a bypassare il Secure Boot di Microsoft (anche su sistemi con patch complete), genererà imitazioni e, disponibile in un bootkit di facile utilizzo sul Dark Web, ispirerà gli aggressori del firmware ad aumentare la loro attività, gli esperti di sicurezza hanno detto questa settimana.

Ciò significa che le aziende devono intensificare gli sforzi per convalidare l'integrità dei loro server, laptop e workstation, a partire da ora.

Il 1 marzo, la società di sicurezza informatica ESET ha pubblicato un'analisi del Kit di avvio BlackLotus, che ignora una funzionalità di sicurezza fondamentale di Windows nota come Avvio protetto UEFI (Unified Extensible Firmware Interface). Microsoft ha introdotto Secure Boot più di un decennio fa e ora è considerato uno dei le basi del suo framework Zero Trust per Windows per la difficoltà di sovvertirlo.

Tuttavia, gli attori delle minacce e i ricercatori di sicurezza hanno sempre più preso di mira le implementazioni di Secure Boot, e per una buona ragione: poiché UEFI è il livello più basso di firmware su un sistema (responsabile del processo di avvio), trovare una vulnerabilità nel codice dell'interfaccia consente un utente malintenzionato per eseguire malware prima che il kernel del sistema operativo, le app di sicurezza e qualsiasi altro software possano entrare in azione. Ciò garantisce l'impianto di malware persistente che i normali agenti di sicurezza non rileveranno. Offre inoltre la possibilità di eseguire in modalità kernel, controllare e sovvertire ogni altro programma sulla macchina, anche dopo la reinstallazione del sistema operativo e la sostituzione del disco rigido, e caricare malware aggiuntivo a livello di kernel.

Ci sono state alcune vulnerabilità precedenti nella tecnologia di avvio, come ad esempio il difetto BootHole rivelato nel 2020 che ha interessato il bootloader Linux GRUB2 e un difetto del firmware in cinque modelli di laptop Acer che potrebbe essere utilizzato per disabilitare l'avvio protetto. Il Dipartimento della sicurezza interna degli Stati Uniti e il Dipartimento del commercio anche di recente avvertito della persistente minaccia poste da rootkit e bootkit del firmware in una bozza di rapporto sui problemi di sicurezza della supply chain. Ma BlackLotus aumenta notevolmente la posta in gioco sui problemi del firmware.

Questo perché mentre Microsoft ha corretto il difetto preso di mira da BlackLotus (una vulnerabilità nota come Baton Drop o CVE-2022-21894), la patch rende solo l'utilizzo più difficile, non impossibile. E l'impatto della vulnerabilità sarà difficile da misurare, perché gli utenti interessati probabilmente non vedranno segni di compromissione, secondo un avviso di Eclypsium pubblicato questa settimana.

"Se un utente malintenzionato riesce a ottenere un punto d'appoggio, le aziende potrebbero essere alla cieca, perché un attacco riuscito significa che un utente malintenzionato sta aggirando tutte le tue tradizionali difese di sicurezza", afferma Paul Asadoorian, principale sostenitore della sicurezza presso Eclypsium. "Possono disattivare la registrazione e sostanzialmente mentire a ogni tipo di contromisura difensiva che potresti avere sul sistema per dirti che va tutto bene."

Ora che BlackLotus è stato commercializzato, apre la strada allo sviluppo di prodotti simili, osservano i ricercatori. "Ci aspettiamo di vedere più gruppi di minacce che incorporano bypass di avvio sicuro nel loro arsenale in futuro", afferma Martin Smolár, ricercatore di malware presso ESET. "L'obiettivo finale di ogni attore di minacce è la persistenza nel sistema e, con la persistenza UEFI, possono operare in modo molto più furtivo rispetto a qualsiasi altro tipo di persistenza a livello di sistema operativo".

L'applicazione di patch non è sufficiente

Anche se Microsoft ha patchato Baton Drop più di un anno fa, il certificato della versione vulnerabile rimane valido, secondo Eclipsio. Gli aggressori con accesso a un sistema compromesso possono installare un bootloader vulnerabile e quindi sfruttare la vulnerabilità, ottenendo persistenza e un livello di controllo più privilegiato.

Microsoft mantiene un elenco di hash crittografici di bootloader Secure Boot legittimi. Per impedire il funzionamento del boot loader vulnerabile, l'azienda dovrebbe revocare l'hash, ma ciò impedirebbe anche il funzionamento di sistemi legittimi, sebbene privi di patch.

"Per risolvere questo problema devi revocare gli hash di quel software per dire a Secure Boot e al processo interno di Microsoft che quel software non è più valido nel processo di avvio", afferma Asadoorian. "Dovrebbero emettere la revoca, aggiornare l'elenco delle revoche, ma non lo stanno facendo, perché rovinerebbe molte cose".

Il meglio che le aziende possono fare è aggiornare regolarmente il proprio firmware e gli elenchi di revoca e monitorare gli endpoint per le indicazioni che un utente malintenzionato ha apportato modifiche, ha affermato Eclypsium nel suo avviso.

Smolár di ESET, che condotto le precedenti indagini in BlackLotus, ha detto in una dichiarazione del 1 marzo aspettarsi che lo sfruttamento aumenti.

"Il basso numero di campioni di BlackLotus che siamo stati in grado di ottenere, sia da fonti pubbliche che dalla nostra telemetria, ci porta a credere che non molti attori delle minacce abbiano ancora iniziato a usarlo", ha affermato. "Siamo preoccupati che le cose cambino rapidamente se questo bootkit dovesse finire nelle mani di gruppi di crimeware, sulla base della facilità di distribuzione del bootkit e delle capacità dei gruppi di crimeware di diffondere malware utilizzando le loro botnet".

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up