Вредоносное ПО BlackLotus Secure Boot Bypass набирает обороты

BlackLotus, первая в мире вредоносная программа, способная обойти безопасную загрузку Microsoft (даже на полностью пропатченных системах), будет порождать подражателей и, доступная в виде простого в использовании буткита в Даркнете, вдохновлять злоумышленников на повышение активности. эксперты по безопасности заявили на этой неделе.

Это означает, что компаниям необходимо активизировать усилия по проверке целостности своих серверов, ноутбуков и рабочих станций уже сейчас.

1 марта компания ESET, занимающаяся кибербезопасностью, опубликовала анализ Буткит BlackLotus, который обходит фундаментальную функцию безопасности Windows, известную как безопасная загрузка Unified Extensible Firmware Interface (UEFI). Microsoft представила безопасную загрузку более десяти лет назад, и теперь она считается одной из основы своей платформы Zero Trust для Windows из-за сложности его устранения.

Тем не менее злоумышленники и исследователи безопасности все больше и больше нацелены на реализации Secure Boot, и на то есть веская причина: поскольку UEFI — это самый низкий уровень прошивки в системе (отвечает за процесс загрузки), обнаружение уязвимости в коде интерфейса позволяет злоумышленник может выполнить вредоносное ПО до того, как ядро ​​операционной системы, приложения безопасности и любое другое программное обеспечение смогут начать действовать. Это гарантирует внедрение устойчивых вредоносных программ, которые обычные агенты безопасности не обнаружат. Он также предлагает возможность выполняться в режиме ядра, контролировать и подрывать любую другую программу на машине — даже после переустановки ОС и замены жесткого диска — и загружать дополнительные вредоносные программы на уровне ядра.

В технологии загрузки уже были некоторые уязвимости, такие как уязвимость BootHole, раскрытая в 2020 г. которые повлияли на загрузчик Linux GRUB2 и ошибка прошивки в пяти моделях ноутбуков Acer который можно использовать для отключения безопасной загрузки. Министерство внутренней безопасности и Министерство торговли США еще недавно предупрежден о постоянной угрозе проблемы, связанные с руткитами и буткитами встроенного ПО, в черновом отчете о проблемах безопасности цепочки поставок. Но BlackLotus значительно повышает ставки по проблемам с прошивкой.

Это связано с тем, что хотя Microsoft исправила уязвимость, на которую нацелен BlackLotus (уязвимость, известную как Baton Drop или CVE-2022-21894), патч только усложняет эксплуатацию, а не делает ее невозможной. И влияние уязвимости будет трудно измерить, поскольку затронутые пользователи, скорее всего, не увидят признаков компрометации, согласно предупреждению Eclypsium, опубликованному на этой неделе.

«Если злоумышленнику удастся закрепиться, компании могут действовать вслепую, потому что успешная атака означает, что злоумышленник обходит все ваши традиционные средства защиты», — говорит Пол Асадориан, главный евангелист по безопасности в Eclypsium. «Они могут отключить ведение журнала и, по сути, лгать о любых защитных мерах противодействия, которые могут быть у вас в системе, чтобы сказать вам, что все в порядке».

Исследователи отмечают, что теперь, когда BlackLotus коммерциализирован, это открывает путь для разработки аналогичных продуктов. «Мы ожидаем, что в будущем все больше групп угроз будут включать безопасные обходы загрузки в свой арсенал, — говорит Мартин Смолар, исследователь вредоносного ПО в ESET. «Конечная цель каждого злоумышленника — сохранение в системе, а с сохранением UEFI они могут работать намного незаметнее, чем с любым другим видом сохранения на уровне ОС».

Исправления недостаточно

Несмотря на то, что Microsoft пропатчила Baton Drop более года назад, сертификат уязвимой версии остается в силе, согласно Эклипсиуму. Злоумышленники, имеющие доступ к скомпрометированной системе, могут установить уязвимый загрузчик, а затем использовать уязвимость, получая постоянство и более привилегированный уровень контроля.

Microsoft ведет список криптографических хэшей законных загрузчиков Secure Boot. Чтобы предотвратить работу уязвимого загрузчика, компании пришлось бы отозвать хеш, но это также помешало бы работе легитимных, хотя и не исправленных, систем.

«Чтобы исправить это, вы должны отозвать хэши этого программного обеспечения, чтобы сообщить Secure Boot и собственному внутреннему процессу Microsoft, что это программное обеспечение больше не действует в процессе загрузки», — говорит Асадуриан. «Они должны были бы выпустить отзыв, обновить список отзывов, но они этого не делают, потому что это нарушило бы многое».

Лучшее, что могут сделать компании, — это регулярно обновлять свои прошивки и списки отзыва, а также отслеживать конечные точки на наличие признаков того, что злоумышленник внес изменения, говорится в бюллетене Eclypsium.

Смолар из ESET, который руководил предыдущим расследованием в БлэкЛотос, Об этом говорится в сообщении от 1 марта. ожидать роста эксплуатации.

«Небольшое количество образцов BlackLotus, которые мы смогли получить как из общедоступных источников, так и из нашей телеметрии, заставляет нас полагать, что немногие злоумышленники еще не начали его использовать», — сказал он. «Мы обеспокоены тем, что ситуация быстро изменится, если этот буткит попадет в руки преступных группировок, учитывая простоту развертывания буткита и возможности криминальных групп распространять вредоносное ПО с помощью своих ботнетов».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up