BlackLotus は、Microsoft のセキュア ブートを (完全にパッチが適用されたシステム上であっても) バイパスする最初の野生のマルウェアであり、模倣者を生み出し、ダーク Web 上の使いやすいブートキットで入手できるため、ファームウェアの攻撃者に活動を活発化させます。セキュリティの専門家は今週、次のように述べています。
つまり、企業はサーバー、ラップトップ、およびワークステーションの整合性を検証するための取り組みを今すぐ開始する必要があります。
1 月 XNUMX 日、サイバーセキュリティ会社の ESET は、 BlackLotus ブートキットこれは、Unified Extensible Firmware Interface (UEFI) セキュア ブートと呼ばれる基本的な Windows セキュリティ機能をバイパスします。 Microsoft は XNUMX 年以上前にセキュア ブートを導入しました。 Windows 向けのゼロ トラスト フレームワークの基盤 それを転覆するのが難しいからです。
しかし、攻撃者やセキュリティ研究者はセキュア ブートの実装をますます標的にしていますが、これには正当な理由があります。オペレーティング システム カーネル、セキュリティ アプリ、およびその他のソフトウェアが動作する前に、攻撃者がマルウェアを実行する可能性があります。 これにより、通常のセキュリティ エージェントでは検出されない永続的なマルウェアの埋め込みが保証されます。 また、カーネル モードで実行し、OS の再インストールやハード ドライブの交換後であっても、マシン上の他のすべてのプログラムを制御および破壊し、追加のマルウェアをカーネル レベルでロードする機能も提供します。
ブート テクノロジーには以前からいくつかの脆弱性がありました。 2020 年に公開された BootHole の欠陥 Linux ブートローダー GRUB2 に影響を与えたもの、および XNUMX つの Acer ラップトップ モデルのファームウェアの欠陥 これは、セキュア ブートを無効にするために使用できます。 米国国土安全保障省と商務省は最近でも 持続的な脅威について警告した サプライ チェーンのセキュリティ問題に関するドラフト レポートで、ファームウェア ルートキットとブートキットによって提示されます。 しかし、BlackLotus はファームウェアの問題に大きく関与しています。
これは、Microsoft が BlackLotus が標的とする脆弱性 (Baton Drop または CVE-2022-21894)、パッチはエクスプロイトをより困難にするだけであり、不可能ではありません. また、今週公開された Eclypsium の警告によると、影響を受けるユーザーはセキュリティ侵害の兆候に気付かない可能性が高いため、脆弱性の影響を測定するのは困難です。
Eclypsium のプリンシパル セキュリティ エバンジェリストである Paul Asadoorian は、次のように述べています。 「彼らはログをオフにすることができ、基本的に、システムにあるあらゆる種類の防御策に嘘をつき、すべてが大丈夫だと伝えます。」
BlackLotus が商品化された今、同様の製品の開発への道が開かれている、と研究者は指摘しています。 ESET のマルウェア研究者である Martin Smolár は次のように述べています。 「すべての脅威アクターの最終的な目標は、システム上での持続性です。UEFI の持続性を使用すると、他の種類の OS レベルの持続性よりもはるかにステルスに動作できます。」
パッチ適用だけでは不十分
Microsoft は XNUMX 年以上前に Baton Drop にパッチを適用しましたが、脆弱なバージョンの証明書は有効なままです。 エクリプシウムによると. 侵害されたシステムにアクセスできる攻撃者は、脆弱なブートローダーをインストールして脆弱性を悪用し、永続性とより特権レベルの制御を取得できます。
Microsoft は、正当なセキュア ブート ブートローダーの暗号化ハッシュのリストを保持しています。 脆弱なブートローダーが機能しないようにするには、会社はハッシュを取り消す必要がありますが、そうすると、パッチが適用されていなくても、正規のシステムが機能しなくなります。
「これを修正するには、そのソフトウェアのハッシュを無効にして、そのソフトウェアがブート プロセスで有効でなくなったことをセキュア ブートと Microsoft の内部プロセスに通知する必要があります」と Asadoorian 氏は言います。 「彼らは失効を発行し、失効リストを更新する必要がありますが、多くのことが壊れてしまうため、そうしていません。」
企業ができる最善の方法は、ファームウェアと失効リストを定期的に更新し、エンドポイントを監視して、攻撃者が変更を加えた兆候がないかどうかを確認することです。
ESET の Smolár 氏 以前の調査を主導した BlackLotusに、 1月XNUMX日の声明で述べた 搾取が増えることを期待します。
「公的情報源とテレメトリーの両方から入手できた BlackLotus サンプルの数が少ないことから、まだ多くの攻撃者が BlackLotus を使用し始めているとは思えません」と彼は言いました。 「このブートキットがクライムウェア グループの手に渡った場合、状況が急速に変化することを懸念しています。これは、ブートキットの簡単な展開と、ボットネットを使用してマルウェアを拡散するクライムウェア グループの能力に基づいています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up
- :は
- $UP
- 1
- 7
- a
- 能力
- できる
- 私たちについて
- アクセス
- 従った
- エイサー
- Action
- アクティビティ
- 俳優
- NEW
- アドバイザリー
- 後
- エージェント
- すべて
- ことができます
- しかし
- 分析
- および
- アプリ
- です
- 周りに
- アーセナル
- AS
- At
- 攻撃
- 利用できます
- ベース
- 基礎
- BE
- なぜなら
- 信じる
- BEST
- ボットネット
- ブレーク
- by
- 缶
- 機能
- 証明書
- チェーン
- 変化する
- コード
- 貿易
- 企業
- 会社
- 妥協
- 損害を受けた
- 心配
- 見なさ
- コントロール
- 可能性
- 創造
- 暗号
- サイバーセキュリティ
- 暗いです
- ダークウェブ
- 十年
- 守備
- 部門
- 国土安全保障省
- 展開
- 開発
- 難しい
- 難しさ
- すること
- ドラフト
- ドライブ
- Drop
- 前
- 使いやすい
- 努力
- 確実に
- 本質的に
- エバンジェリスト
- さらに
- あらゆる
- すべてのもの
- 実行します
- 期待する
- 専門家
- 悪用する
- 搾取
- 特徴
- 発見
- 会社
- 名
- 修正する
- 欠陥
- 続いて
- 財団
- フレームワーク
- から
- 完全に
- 基本的な
- 未来
- 獲得
- 取得する
- 受け
- 目標
- 良い
- グループの
- ハンド
- ハード
- ハード·ドライブ
- ハッシュ
- 持ってる
- 祖国
- セキュリティ
- HTTPS
- 影響
- 不可能
- in
- 組み込む
- 増える
- 適応症
- インスパイア
- install
- 整合性
- インタフェース
- 内部
- 導入
- 問題
- 問題
- IT
- ITS
- JPG
- 種類
- 既知の
- ノートパソコン
- ノートパソコン
- リード
- レベル
- 可能性が高い
- linuxの
- リスト
- リスト
- 負荷
- ローダ
- より長いです
- たくさん
- ロー
- 最低レベル
- 機械
- 製
- 維持
- 作る
- マルウェア
- 管理します
- 多くの
- 3月
- 1月XNUMX日 XNUMX:XNUMX
- マーティン
- 最大幅
- 手段
- だけど
- Microsoft
- かもしれない
- モード
- 修正
- モニター
- 他には?
- 必要
- 通常の
- 数
- 入手する
- of
- オファー
- 良い
- on
- ONE
- 操作する
- オペレーティング
- オペレーティングシステム
- オリジナル
- OS
- その他
- 自分の
- パッチ
- Paul Cairns
- 持続性
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 防ぐ
- 前
- 校長
- 特権を持つ
- プロセス
- 演奏曲目
- 公共
- 公表
- 出版
- すぐに
- ランプ
- 急速に
- RE
- 理由
- 最近
- レギュラー
- 残っている
- レポート
- 研究者
- 研究者
- 責任
- ランニング
- s
- 前記
- 言う
- 安全に
- セキュリティ
- サーバー
- セッションに
- すべき
- 著しく
- サイン
- 同様の
- ソフトウェア
- 一部
- ソース
- ソース
- 広がる
- 開始
- 起動
- 成功した
- そのような
- 供給
- サプライチェーン
- システム
- 対象となります
- ターゲット
- テクノロジー
- それ
- 未来
- アプリ環境に合わせて
- 物事
- 今週
- 脅威
- 脅威アクター
- タイムライン
- 〜へ
- 伝統的な
- 信頼
- TRUST フレームワーク
- 順番
- 究極の
- 統一
- アップデイト
- UPS
- us
- users
- 検証
- バージョン
- 脆弱性
- 脆弱性
- 脆弱な
- 警告
- 仕方..
- ウェブ
- 週間
- which
- while
- 誰
- 意志
- ウィンドウズ
- ワーキング
- でしょう
- 年
- You
- あなたの
- ゼファーネット
- ゼロ
- ゼロトラスト