BlackLotus Secure Boot Bypass Malware inställd på att öka

BlackLotus, den första in-the-wild malware som kringgår Microsofts Secure Boot (även på helt patchade system), kommer att skapa copycats och, tillgängligt i ett lättanvänt bootkit på Dark Web, inspirera firmware-angripare att öka sin aktivitet, sa säkerhetsexperter denna vecka.

Det betyder att företag måste öka ansträngningarna för att validera integriteten hos sina servrar, bärbara datorer och arbetsstationer, från och med nu.

Den 1 mars publicerade cybersäkerhetsföretaget ESET en analys av BlackLotus bootkit, som kringgår en grundläggande Windows-säkerhetsfunktion som kallas Unified Extensible Firmware Interface (UEFI) Secure Boot. Microsoft introducerade Secure Boot för mer än ett decennium sedan, och det anses nu vara en av dem grunden för dess Zero Trust-ramverk för Windows på grund av svårigheten att undergräva den.

Ändå har hotaktörer och säkerhetsforskare riktat in sig på implementeringar av Secure Boot mer och mer, och av goda skäl: Eftersom UEFI är den lägsta nivån av firmware på ett system (ansvarig för uppstartsprocessen), gör det möjligt att hitta en sårbarhet i gränssnittskoden angripare för att exekvera skadlig programvara innan operativsystemets kärna, säkerhetsappar och annan programvara kan börja agera. Detta säkerställer implantation av ihållande skadlig programvara som vanliga säkerhetsagenter inte kommer att upptäcka. Det erbjuder också möjligheten att köra i kärnläge, att kontrollera och undergräva alla andra program på maskinen – även efter ominstallationer av OS och byte av hårddisk – och ladda ytterligare skadlig programvara på kärnnivå.

Det har funnits några tidigare sårbarheter i bootteknik, som t.ex BootHole-felet som avslöjades 2020 som påverkade Linux bootloader GRUB2, och ett firmwarefel i fem Acer bärbara modeller som kan användas för att inaktivera säker start. US Department of Homeland Security och Department of Commerce även nyligen varnade för det ihållande hotet framställda av firmware rootkits och bootkits i ett utkast till rapport om leveranskedjans säkerhetsfrågor. Men BlackLotus ökar insatserna avsevärt när det gäller problem med firmware.

Det beror på att medan Microsoft korrigerade felet som BlackLotus riktar sig mot (en sårbarhet känd som Baton Drop eller CVE-2022-21894), korrigeringen gör bara exploatering svårare - inte omöjligt. Och effekten av sårbarheten kommer att vara svår att mäta, eftersom drabbade användare sannolikt inte kommer att se tecken på kompromiss, enligt en varning från Eclypsium som publicerades denna vecka.

"Om en angripare lyckas få fotfäste kan företag bli blinda, eftersom en framgångsrik attack innebär att en angripare tar sig runt alla dina traditionella säkerhetsförsvar", säger Paul Asadoorian, huvudsäkerhetsevangelist på Eclypsium. "De kan stänga av loggning och i princip ljuga för alla typer av defensiva motåtgärder du kan ha på systemet för att berätta att allt är okej."

Nu när BlackLotus har kommersialiserats banar det väg för utveckling av liknande varor, konstaterar forskare. "Vi förväntar oss att se fler hotgrupper införliva säkra bootbypass i sin arsenal i framtiden", säger Martin Smolár, malware-forskare på ESET. "Varje hotaktörs slutmål är uthållighet i systemet, och med UEFI-uthållighet kan de fungera mycket smygande än med någon annan typ av uthållighet på OS-nivå."

Det räcker inte med patchning

Även om Microsoft patchade Baton Drop för mer än ett år sedan, förblir certifikatet för den sårbara versionen giltigt, enligt Eclypsium. Angripare med tillgång till ett komprometterat system kan installera en sårbar starthanterare och sedan utnyttja sårbarheten, få uthållighet och en mer privilegierad kontrollnivå.

Microsoft upprätthåller en lista över kryptografiska hash för legitima Secure Boot-starthanterare. För att förhindra att den sårbara starthanteraren fungerar skulle företaget behöva återkalla hashen, men det skulle också förhindra legitima – även om de är oparpade – system från att fungera.

"För att fixa detta måste du återkalla hasharna för den programvaran för att tala om för Secure Boot och Microsofts egen interna process att den programvaran inte längre är giltig i uppstartsprocessen", säger Asadoorian. "De skulle behöva utfärda återkallelsen, uppdatera spärrlistan, men de gör inte det, eftersom det skulle gå sönder många saker."

Det bästa som företag kan göra är att uppdatera sin firmware och återkallelselistor regelbundet, och övervaka slutpunkter för indikationer på att en angripare har gjort ändringar, säger Eclypsium i sin rådgivning.

ESETs Smolár, som ledde den tidigare utredningen till BlackLotus, sa i ett uttalande den 1 mars att förvänta sig att exploateringen ökar.

"Det låga antalet BlackLotus-prover vi har kunnat erhålla, både från offentliga källor och vår telemetri, får oss att tro att inte många hotaktörer har börjat använda det ännu," sa han. "Vi är oroliga för att saker och ting kommer att förändras snabbt om det här bootkitet skulle komma i händerna på brottsliga grupper, baserat på bootkits enkla distribution och brottsliga gruppers möjligheter att sprida skadlig programvara med deras botnät."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up