Zlonamerna programska oprema BlackLotus Secure Boot Bypass je nastavljena na povečanje

BlackLotus, prva zlonamerna programska oprema v divjini, ki zaobide Microsoftov varni zagon (tudi na popolnoma zakrpanih sistemih), bo ustvarila posnemovalce in, ki je na voljo v zagonskem kompletu, ki je preprost za uporabo, na temnem spletu navdihnila napadalce strojne programske opreme, da povečajo svojo aktivnost, so ta teden povedali varnostni strokovnjaki.

To pomeni, da si morajo podjetja od zdaj naprej bolj prizadevati za potrjevanje celovitosti svojih strežnikov, prenosnih računalnikov in delovnih postaj.

1. marca je podjetje za kibernetsko varnost ESET objavilo analizo BlackLotus bootkit, ki zaobide temeljno varnostno funkcijo sistema Windows, znano kot varen zagon Unified Extensible Firmware Interface (UEFI). Microsoft je pred več kot desetletjem predstavil varni zagon in zdaj velja za enega izmed temelje svojega okvira Zero Trust za Windows zaradi težav pri njegovem podiranju.

Kljub temu so akterji groženj in varnostni raziskovalci vedno bolj usmerjeni k implementacijam varnega zagona in to z dobrim razlogom: ker je UEFI najnižja raven vdelane programske opreme v sistemu (odgovorna za postopek zagona), iskanje ranljivosti v kodi vmesnika omogoča napadalec za izvajanje zlonamerne programske opreme, preden lahko jedro operacijskega sistema, varnostne aplikacije in katera koli druga programska oprema začnejo delovati. To zagotavlja vsaditev obstojne zlonamerne programske opreme, ki je običajni varnostni agenti ne bodo zaznali. Ponuja tudi možnost izvajanja v načinu jedra, za nadzor in spodkopavanje vseh drugih programov na računalniku – tudi po ponovni namestitvi OS in zamenjavi trdega diska – in nalaganje dodatne zlonamerne programske opreme na ravni jedra.

V zagonski tehnologiji je bilo nekaj prejšnjih ranljivosti, kot npr napaka BootHole, razkrita leta 2020 ki je vplivalo na zagonski nalagalnik Linuxa GRUB2 in napaka vdelane programske opreme v petih modelih prenosnikov Acer ki bi ga lahko uporabili za onemogočanje varnega zagona. Ameriško ministrstvo za domovinsko varnost in ministrstvo za trgovino celo pred kratkim opozorili na stalno grožnjo kiti vdelane programske opreme in bootkiti v osnutku poročila o vprašanjih varnosti dobavne verige. Toda BlackLotus bistveno poveča vložke pri težavah z vdelano programsko opremo.

To je zato, ker je Microsoft medtem, ko je popravil napako, na katero cilja BlackLotus (ranljivost, znana kot Baton Drop oz. CVE-2022-21894), popravek le oteži izkoriščanje – ne nemogoče. In vpliv ranljivosti bo težko izmeriti, ker prizadeti uporabniki verjetno ne bodo videli znakov ogroženosti, glede na opozorilo Eclypsiuma, objavljeno ta teden.

»Če se napadalcu vendarle uspe upreti, lahko podjetja ostanejo na slepo, saj uspešen napad pomeni, da napadalec zaobide vse vaše tradicionalne varnostne obrambe,« pravi Paul Asadoorian, glavni varnostni evangelist pri Eclypsiumu. "Lahko izklopijo beleženje in v bistvu lažejo vsaki vrsti obrambnih protiukrepov, ki jih morda imate v sistemu, da bi vam povedali, da je vse v redu."

Zdaj, ko je BlackLotus komercializiran, utira pot za razvoj podobnih izdelkov, ugotavljajo raziskovalci. »Pričakujemo, da bo v prihodnje več skupin groženj v svoj arzenal vključilo obvode varnega zagona,« pravi Martin Smolár, raziskovalec zlonamerne programske opreme pri ESET. "Končni cilj vsakega akterja grožnje je obstojnost v sistemu in z obstojnostjo UEFI lahko deluje veliko bolj prikrito kot s katero koli drugo vrsto obstojnosti na ravni OS."

Krpanje ni dovolj

Čeprav je Microsoft pred več kot enim letom popravil Baton Drop, potrdilo o ranljivi različici ostaja veljavno, glede na Eclypsium. Napadalci z dostopom do ogroženega sistema lahko namestijo ranljiv zagonski nalagalnik in nato izkoristijo ranljivost ter pridobijo obstojnost in bolj privilegirano raven nadzora.

Microsoft vzdržuje seznam kriptografskih zgoščenih vrednosti legitimnih zagonskih nalagalnikov Secure Boot. Da bi preprečili delovanje ranljivega zagonskega nalagalnika, bi moralo podjetje preklicati zgoščeno vrednost, vendar bi to tudi preprečilo delovanje zakonitih – čeprav nepopravljenih – sistemov.

»Če želite to popraviti, morate preklicati zgoščene vrednosti te programske opreme, da varnemu zagonu in Microsoftovemu notranjemu procesu sporočite, da ta programska oprema v zagonskem procesu ni več veljavna,« pravi Asadoorian. "Morali bi izdati preklic, posodobiti seznam preklica, vendar tega ne počnejo, ker bi to pokvarilo veliko stvari."

Najboljše, kar lahko storijo podjetja, je, da redno posodabljajo svojo vdelano programsko opremo in sezname preklica ter spremljajo končne točke za znake, da je napadalec izvedel spremembe, je dejal Eclypsium v ​​svojem svetovanju.

Smolár iz družbe ESET, ki vodil prejšnjo preiskavo v BlackLotus, je dejal v izjavi 1. marca pričakovati, da se bo izkoriščanje povečalo.

"Majhno število vzorcev BlackLotusa, ki smo jih uspeli pridobiti, tako iz javnih virov kot naše telemetrije, nas navaja na prepričanje, da ga še ni začelo uporabljati veliko akterjev groženj," je dejal. "Skrbi nas, da se bodo stvari hitro spremenile, če ta bootkit pride v roke skupinam kriminalne programske opreme, na podlagi enostavne uvedbe bootkita in zmožnosti skupin kriminalne programske opreme za širjenje zlonamerne programske opreme prek svojih botnetov."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up