BlackLotus, התוכנה הזדונית הראשונה בטבע שעוקפת את האתחול המאובטח של מיקרוסופט (אפילו במערכות מתוקנות במלואן), תוליד העתקות, וזמין בערכת אתחול קלה לשימוש ברשת האפלה, תיתן השראה לתוקפי קושחה להגביר את פעילותם, אמרו השבוע מומחי אבטחה.
המשמעות היא שחברות צריכות להגביר את המאמצים לאמת את תקינות השרתים, המחשבים הניידים ותחנות העבודה שלהן, החל מעכשיו.
ב-1 במרץ פרסמה חברת אבטחת הסייבר ESET ניתוח של ערכת האתחול של BlackLotus, אשר עוקפת תכונת אבטחה בסיסית של Windows המכונה Unified Extensible Firmware Interface (UEFI) Secure Boot. מיקרוסופט הציגה את Secure Boot לפני יותר מעשור, וכעת היא נחשבת לאחת מהן היסודות של מסגרת Zero Trust עבור Windows בגלל הקושי לחתור אותו.
עם זאת, שחקני איומים וחוקרי אבטחה מכוונים ליישומי אתחול מאובטח יותר ויותר, ומסיבה טובה: מכיוון ש-UEFI היא רמת הקושחה הנמוכה ביותר במערכת (האחראית על תהליך האתחול), מציאת פגיעות בקוד הממשק מאפשרת התוקף להפעיל תוכנה זדונית לפני שליבת מערכת ההפעלה, אפליקציות אבטחה וכל תוכנה אחרת יכולה להיכנס לפעולה. זה מבטיח השתלה של תוכנות זדוניות מתמשכות שסוכני אבטחה רגילים לא יזהו. הוא גם מציע את היכולת להפעיל במצב ליבה, לשלוט ולערער כל תוכנית אחרת במחשב - אפילו לאחר התקנות מחדש של מערכת ההפעלה והחלפת כונן קשיח - ולטעון תוכנות זדוניות נוספות ברמת הליבה.
היו כמה נקודות תורפה קודמות בטכנולוגיית האתחול, כגון הפגם ב-BootHole שנחשף ב-2020 שהשפיע על טוען האתחול של לינוקס GRUB2, ו ליקוי קושחה בחמישה דגמי מחשב נייד של Acer שיכול לשמש כדי להשבית את אתחול מאובטח. המשרד לביטחון המולדת האמריקאי ומשרד המסחר אפילו לאחרונה הזהיר מפני האיום המתמשך הוצגו על ידי ערכות שורש ו-bootkits של קושחה בטיוטת דו"ח על בעיות אבטחה של שרשרת האספקה. אבל BlackLotus מעלה את ההימור בנושאי קושחה באופן משמעותי.
הסיבה לכך היא שבעוד שמיקרוסופט תיקנה את הפגם ש-BlackLotus מכוון אליו (פגיעות המכונה Baton Drop או CVE-2022-21894), התיקון רק מקשה על הניצול - לא בלתי אפשרי. וקשה למדוד את השפעת הפגיעות, מכיוון שסביר להניח שהמשתמשים המושפעים לא יראו סימני פשרה, על פי אזהרה מאת Eclypsium שפורסמה השבוע.
"אם תוקף אכן מצליח להשיג דריסת רגל, חברות עלולות להיות עיוורות, כי התקפה מוצלחת פירושה שתוקף עוקף את כל ההגנות הביטחוניות המסורתיות שלך", אומר פול אסאדוריאן, אוונגליסט אבטחה ראשי באקליפסיום. "הם יכולים לכבות רישום, ובעצם לשקר לכל סוג של אמצעי נגד הגנתי שיש לך במערכת כדי לומר לך שהכל בסדר."
כעת, לאחר ש-BlackLotus הופעלה למסחר, היא סוללת את הדרך לפיתוח של מוצרים דומים, מציינים החוקרים. "אנו מצפים לראות קבוצות איומים נוספות שישלבו מעקפי אתחול מאובטח בארסנל שלהן", אומר מרטין סמולאר, חוקר תוכנות זדוניות ב-ESET. "המטרה הסופית של כל שחקן איום היא התמדה במערכת, ועם התמדה של UEFI, הם יכולים לפעול הרבה יותר בגניבה מאשר עם כל סוג אחר של התמדה ברמת מערכת ההפעלה."
תיקון זה לא מספיק
למרות שמיקרוסופט תיקנה את Baton Drop לפני יותר משנה, האישור של הגרסה הפגיעה נשארת בתוקף, לפי אקליפסיום. תוקפים עם גישה למערכת שנפרצה יכולים להתקין טוען אתחול פגיע ולאחר מכן לנצל את הפגיעות, להשיג התמדה ורמת שליטה מועדפת יותר.
מיקרוסופט שומרת על רשימה של גיבוב קריפטוגרפי של מטעני אתחול חוקיים של Secure Boot. כדי למנוע ממטען האתחול הפגיע לפעול, החברה תצטרך לבטל את ה-hash, אבל זה גם ימנע ממערכות לגיטימיות - אם כי לא תואמות - לפעול.
"כדי לתקן את זה אתה צריך לבטל את ה-hash של התוכנה הזו כדי לומר ל-Secure Boot ולתהליך הפנימי של מיקרוסופט עצמה שהתוכנה הזו כבר לא תקפה בתהליך האתחול", אומר Asadoorian. "הם יצטרכו להוציא את הביטול, לעדכן את רשימת הביטולים, אבל הם לא עושים את זה, כי זה ישבור הרבה דברים".
הדבר הטוב ביותר שחברות יכולות לעשות הוא לעדכן את הקושחה ואת רשימות הביטול שלהן על בסיס קבוע, ולנטר את נקודות הקצה לאיתור אינדיקציות שתוקף ביצע שינויים, אמרה אקליפסיום בייעוץ שלה.
Smolár של ESET, מי הוביל את החקירה המוקדמת יותר לתוך BlackLotus, אמר בהצהרה מ-1 במרץ לצפות שהניצול יתגבר.
"המספר הנמוך של דגימות BlackLotus שהצלחנו להשיג, הן ממקורות ציבוריים והן מהטלמטריה שלנו, גורם לנו להאמין שעדיין לא הרבה גורמי איומים החלו להשתמש בה", אמר. "אנו מודאגים שדברים ישתנו במהירות אם ערכת האתחול הזו תגיע לידי קבוצות של תוכנות פשיעה, בהתבסס על הפריסה הקלה של האתחול ועל היכולות של קבוצות תוכנות פשע להפצת תוכנות זדוניות באמצעות הבוטנטים שלהן."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up
- :הוא
- $ למעלה
- 1
- 7
- a
- יכולת
- יכול
- אודות
- גישה
- פי
- ACER
- פעולה
- פעילות
- שחקנים
- נוסף
- ייעוץ
- לאחר
- סוכנים
- תעשיות
- מאפשר
- למרות
- אנליזה
- ו
- אפליקציות
- ARE
- סביב
- ארסנל
- AS
- At
- לתקוף
- זמין
- מבוסס
- בסיס
- BE
- כי
- לפני
- תאמינו
- הטוב ביותר
- botnets
- לשבור
- by
- CAN
- יכולות
- תעודה
- שרשרת
- שינוי
- קוד
- מסחר
- חברות
- חברה
- פשרה
- התפשר
- מודאג
- נחשב
- לִשְׁלוֹט
- יכול
- יצירה
- קריפטוגרפי
- אבטחת סייבר
- כהה
- אינטרנט אפל
- עָשׂוֹר
- הגנתי
- מַחלָקָה
- מחלקה לביטחון מולדת
- פריסה
- צעצועי התפתחות
- קשה
- קושי
- עושה
- טיוטה
- נהיגה
- ירידה
- מוקדם יותר
- קל לשימוש
- מַאֲמָצִים
- מבטיח
- למעשה
- מַטִיף
- אֲפִילוּ
- כל
- הכל
- לבצע
- לצפות
- מומחים
- לנצל
- ניצול
- מאפיין
- מציאת
- פירמה
- ראשון
- לסדר
- פגם
- בעקבות
- בעד
- יסודות
- מסגרת
- החל מ-
- לגמרי
- יסודי
- עתיד
- זכייה
- לקבל
- מקבל
- מטרה
- טוב
- קבוצה
- ידיים
- קשה
- כונן קשיח
- שירים
- יש
- מולדת
- הביטחון מולד
- HTTPS
- פְּגִיעָה
- בלתי אפשרי
- in
- שילוב
- להגדיל
- אינדיקציות
- לעורר
- להתקין
- שלמות
- מִמְשָׁק
- פנימי
- הציג
- סוגיה
- בעיות
- IT
- שֶׁלָה
- jpg
- סוג
- ידוע
- מחשב נייד
- מחשבים ניידים
- מוביל
- רמה
- סביר
- לינוקס
- רשימה
- רשימות
- לִטעוֹן
- מטעין
- עוד
- מגרש
- נמוך
- הרמה הנמוכה ביותר
- מכונה
- עשוי
- שומר
- עושה
- תוכנות זדוניות
- לנהל
- רב
- צעדה
- במרץ 1
- סנונית
- max-width
- אומר
- למדוד
- מיקרוסופט
- יכול
- מצב
- שינויים
- צג
- יותר
- צורך
- נוֹרמָלִי
- מספר
- להשיג
- of
- המיוחדות שלנו
- בסדר
- on
- ONE
- להפעיל
- פועל
- מערכת הפעלה
- מְקוֹרִי
- OS
- אחר
- שֶׁלוֹ
- תיקון
- פול
- התמדה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- למנוע
- קודם
- מנהל
- חסוי
- תהליך
- תָכְנִית
- ציבורי
- לאור
- הוצאה לאור
- מהירות
- רמפה
- מהר
- RE
- טעם
- לאחרונה
- רגיל
- שְׂרִידִים
- לדווח
- חוקר
- חוקרים
- אחראי
- ריצה
- s
- אמר
- אומר
- לבטח
- אבטחה
- שרתים
- סט
- צריך
- באופן משמעותי
- שלטים
- דומה
- תוכנה
- כמה
- מָקוֹר
- מקורות
- הפצת
- החל
- החל
- מוצלח
- כזה
- לספק
- שרשרת אספקה
- מערכת
- מערכות
- ממוקד
- מטרות
- טכנולוגיה
- זֶה
- השמיים
- העתיד
- שֶׁלָהֶם
- דברים
- השבוע
- איום
- איום שחקנים
- ציר זמן
- ל
- מסורתי
- סומך
- מסגרת אמון
- תור
- האולטימטיבי
- מאוחד
- עדכון
- יו פי אס
- us
- משתמשים
- לְאַמֵת
- גרסה
- פגיעויות
- פגיעות
- פגיע
- אזהרה
- דֶרֶך..
- אינטרנט
- שבוע
- אשר
- בזמן
- מי
- יצטרך
- חלונות
- עם
- עובד
- היה
- שנה
- אתה
- זפירנט
- אפס
- אפס אמון