Programul malware BlackLotus Secure Boot Bypass setat pentru a crește

BlackLotus, primul malware din sălbăticie care ocolește Secure Boot al Microsoft (chiar și pe sisteme complet corelate), va genera copieri și, disponibil într-un set de boot ușor de utilizat pe Dark Web, va inspira atacatorii de firmware să-și sporească activitatea, au spus experții în securitate săptămâna aceasta.

Aceasta înseamnă că companiile trebuie să își intensifice eforturile pentru a valida integritatea serverelor, laptopurilor și stațiilor de lucru, începând de acum.

La 1 martie, firma de securitate cibernetică ESET a publicat o analiză a Setul de pornire BlackLotus, care ocolește o caracteristică fundamentală de securitate Windows cunoscută sub numele de Secure Boot Interfață firmware extensibilă unificată (UEFI). Microsoft a introdus Secure Boot în urmă cu mai bine de un deceniu, iar acum este considerat unul dintre bazele cadrului său Zero Trust pentru Windows din cauza dificultății de a o submina.

Cu toate acestea, actorii amenințărilor și cercetătorii de securitate au vizat implementările Secure Boot din ce în ce mai mult și din motive întemeiate: deoarece UEFI este cel mai scăzut nivel de firmware al unui sistem (responsabil pentru procesul de pornire), găsirea unei vulnerabilități în codul interfeței permite o atacatorul să execute programe malware înainte ca nucleul sistemului de operare, aplicațiile de securitate și orice alt software să intre în acțiune. Acest lucru asigură implantarea de malware persistent pe care agenții de securitate obișnuiți nu îl vor detecta. De asemenea, oferă posibilitatea de a executa în modul kernel, de a controla și de a submina orice alt program de pe mașină - chiar și după reinstalarea sistemului de operare și înlocuirea hard disk-ului - și de a încărca programe malware suplimentare la nivel de kernel.

Au existat câteva vulnerabilități anterioare în tehnologia de boot, cum ar fi defectul BootHole dezvăluit în 2020 care a afectat bootloader-ul Linux GRUB2 și un defect de firmware la cinci modele de laptopuri Acer care ar putea fi folosit pentru a dezactiva Secure Boot. Departamentul SUA pentru Securitate Internă și Departamentul de Comerț chiar recent a avertizat despre amenințarea persistentă prezentate de rootkit-urile și bootkit-urile de firmware într-un proiect de raport privind problemele de securitate a lanțului de aprovizionare. Dar BlackLotus crește semnificativ miza problemelor legate de firmware.

Asta pentru că, în timp ce Microsoft a corectat defectul pe care îl vizează BlackLotus (o vulnerabilitate cunoscută sub numele de Baton Drop sau CVE-2022-21894), patch-ul face doar exploatarea mai dificilă - nu imposibilă. Iar impactul vulnerabilității va fi greu de măsurat, deoarece utilizatorii afectați probabil nu vor vedea semne de compromis, potrivit unui avertisment de la Eclypsium publicat în această săptămână.

„Dacă un atacator reușește să se apropie, companiile ar putea fi orb, deoarece un atac de succes înseamnă că un atacator ocolește toate apărările tradiționale de securitate”, spune Paul Asadoorian, principal evanghelist de securitate la Eclypsium. „Pot să dezactiveze înregistrarea și, în esență, să mintă orice tip de contramăsuri defensive pe care le-ați putea avea în sistem pentru a vă spune că totul este în regulă.”

Acum că BlackLotus a fost comercializat, deschide calea pentru dezvoltarea de produse similare, notează cercetătorii. „Ne așteptăm să vedem în viitor mai multe grupuri de amenințări care încorporează bypass-uri securizate de boot în arsenalul lor”, spune Martin Smolár, cercetător de malware la ESET. „Scopul final al oricărui actor de amenințări este persistența pe sistem și, cu persistența UEFI, aceștia pot funcționa mult mai ascunși decât cu orice alt tip de persistență la nivel de sistem de operare.”

Patch-ul nu este suficient

Chiar dacă Microsoft a corectat Baton Drop în urmă cu mai bine de un an, certificatul versiunii vulnerabile rămâne valabil, conform Eclypsium. Atacatorii cu acces la un sistem compromis pot instala un bootloader vulnerabil și apoi exploatează vulnerabilitatea, câștigând persistență și un nivel de control mai privilegiat.

Microsoft menține o listă de hashuri criptografice ale încărcătoarelor de pornire legitime Secure Boot. Pentru a preveni funcționarea încărctorului de pornire vulnerabil, compania ar trebui să revoce hash-ul, dar asta ar împiedica și sistemele legitime – deși nepattchizate – să funcționeze.

„Pentru a remedia acest lucru, trebuie să revocați hashurile acelui software pentru a spune Secure Boot și propriului proces intern al Microsoft că acel software nu mai este valabil în procesul de pornire”, spune Asadoorian. „Ar trebui să emită revocarea, să actualizeze lista de revocări, dar nu fac asta, pentru că ar sparge o mulțime de lucruri.”

Cel mai bun lucru pe care îl pot face companiile este să își actualizeze firmware-ul și listele de revocare în mod regulat și să monitorizeze punctele finale pentru indicii că un atacator a făcut modificări, a spus Eclypsium în avizul său.

Smolár de la ESET, care a condus ancheta anterioară în BlackLotus, a spus într-o declarație din 1 martie să se aștepte ca exploatarea să crească.

„Numărul redus de mostre BlackLotus pe care le-am putut obține, atât din surse publice, cât și din telemetria noastră, ne face să credem că nu mulți actori de amenințări au început să-l folosească încă”, a spus el. „Suntem îngrijorați că lucrurile se vor schimba rapid în cazul în care acest bootkit va ajunge în mâinile grupurilor criminalistice, pe baza implementării ușoare a bootkit-ului și a capacităților grupurilor de crimeware de a răspândi malware folosind rețelele lor bot.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up