BlackLotus Secure Boot Bypass Malware satt til å rampe opp

BlackLotus, den første i-the-wild malware som omgår Microsofts Secure Boot (selv på fullstendig patchede systemer), vil skape copycats og, tilgjengelig i et brukervennlig bootkit på Dark Web, inspirere fastvareangripere til å øke aktiviteten sin, sa sikkerhetseksperter denne uken.

Det betyr at bedrifter må øke innsatsen for å validere integriteten til deres servere, bærbare datamaskiner og arbeidsstasjoner, fra og med nå.

1. mars publiserte cybersikkerhetsfirmaet ESET en analyse av BlackLotus bootkit, som omgår en grunnleggende Windows-sikkerhetsfunksjon kjent som Unified Extensible Firmware Interface (UEFI) Secure Boot. Microsoft introduserte Secure Boot for mer enn et tiår siden, og det regnes nå som en av dem grunnlaget for Zero Trust-rammeverket for Windows på grunn av vanskeligheten med å undergrave den.

Likevel har trusselaktører og sikkerhetsforskere siktet mer og mer mot implementeringer av sikker oppstart, og med god grunn: Fordi UEFI er det laveste nivået av fastvare på et system (ansvarlig for oppstartsprosessen), gjør det å finne en sårbarhet i grensesnittkoden en angriper for å kjøre skadevare før operativsystemkjernen, sikkerhetsapper og annen programvare kan gå i gang. Dette sikrer implantasjon av vedvarende skadelig programvare som vanlige sikkerhetsagenter ikke vil oppdage. Den tilbyr også muligheten til å kjøre i kjernemodus, kontrollere og undergrave alle andre programmer på maskinen – selv etter ominstallering av OS og utskifting av harddisk – og laste inn ytterligere skadelig programvare på kjernenivå.

Det har vært noen tidligere sårbarheter i oppstartsteknologi, som f.eks BootHole-feilen som ble avslørt i 2020 som påvirket Linux bootloader GRUB2, og en fastvarefeil i fem bærbare Acer-modeller som kan brukes til å deaktivere sikker oppstart. US Department of Homeland Security og Department of Commerce selv nylig advart om den vedvarende trusselen stilt av fastvare-rootkits og bootkits i et utkast til rapport om sikkerhetsproblemer i forsyningskjeden. Men BlackLotus øker innsatsen på fastvareproblemer betydelig.

Det er fordi mens Microsoft lappet feilen som BlackLotus retter seg mot (en sårbarhet kjent som Baton Drop eller CVE-2022-21894), oppdateringen gjør bare utnyttelse vanskeligere - ikke umulig. Og virkningen av sårbarheten vil være vanskelig å måle, fordi berørte brukere sannsynligvis ikke vil se tegn på kompromiss, ifølge en advarsel fra Eclypsium publisert denne uken.

"Hvis en angriper klarer å få fotfeste, kan bedrifter bli blinde, fordi et vellykket angrep betyr at en angriper kommer seg rundt alle de tradisjonelle sikkerhetsforsvarene dine," sier Paul Asadoorian, hovedsikkerhetsevangelist ved Eclypsium. "De kan slå av logging, og i hovedsak lyve til alle slags defensive mottiltak du måtte ha på systemet for å fortelle deg at alt er i orden."

Nå som BlackLotus har blitt kommersialisert, baner det vei for utvikling av lignende varer, bemerker forskere. "Vi forventer å se flere trusselgrupper som inkorporerer sikre boot-bypass-er i arsenalet deres i fremtiden," sier Martin Smolár, skadevareforsker ved ESET. "Hver trusselaktørs endelige mål er utholdenhet på systemet, og med UEFI-utholdenhet kan de operere mye mer skjult enn med noen annen form for utholdenhet på OS-nivå."

Patching er ikke nok

Selv om Microsoft lappet Baton Drop for mer enn et år siden, forblir sertifikatet for den sårbare versjonen gyldig, ifølge Eclypsium. Angripere med tilgang til et kompromittert system kan installere en sårbar oppstartslaster og deretter utnytte sårbarheten, få utholdenhet og et mer privilegert kontrollnivå.

Microsoft opprettholder en liste over kryptografiske hasher av legitime Secure Boot-oppstartslastere. For å forhindre at den sårbare oppstartslasteren fungerer, må selskapet tilbakekalle hashen, men det vil også forhindre at legitime – selv om de ikke er lappet – systemer fungerer.

"For å fikse dette må du tilbakekalle hashen til den programvaren for å fortelle Secure Boot og Microsofts egen interne prosess at den programvaren ikke lenger er gyldig i oppstartsprosessen," sier Asadoorian. "De ville måtte utstede tilbakekallingen, oppdatere tilbakekallingslisten, men de gjør ikke det, fordi det ville ødelegge mange ting."

Det beste selskapene kan gjøre er å oppdatere fastvaren og tilbakekallingslistene sine med jevne mellomrom, og overvåke endepunkter for indikasjoner på at en angriper har gjort endringer, sa Eclypsium i sin rådgivning.

ESETs Smolár, som ledet den tidligere etterforskningen inn i BlackLotus, sa i en uttalelse 1. mars å forvente at utnyttelsen vil øke.

"Det lave antallet BlackLotus-prøver vi har vært i stand til å få tak i, både fra offentlige kilder og telemetrien vår, får oss til å tro at ikke mange trusselaktører har begynt å bruke det ennå," sa han. "Vi er bekymret for at ting vil endre seg raskt dersom dette oppstartssettet skulle komme i hendene på kriminalitetsvaregrupper, basert på oppstartssettets enkle distribusjon og kriminalitetsgruppenes muligheter for å spre skadelig programvare ved å bruke deres botnett."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up