BlackLotus, перше зловмисне програмне забезпечення, що обходить Microsoft Secure Boot (навіть на повністю виправлених системах), створить копіювання та, доступне у простому у використанні завантажувальному пакеті в Dark Web, спонукає зловмисників посилити свою активність, цього тижня заявили експерти з безпеки.
Це означає, що компаніям потрібно посилити зусилля для перевірки цілісності своїх серверів, ноутбуків і робочих станцій, починаючи з цього моменту.
1 березня компанія з кібербезпеки ESET опублікувала аналіз Буткіт BlackLotus, яка обходить фундаментальну функцію безпеки Windows, відому як безпечне завантаження з уніфікованого розширюваного інтерфейсу мікропрограми (UEFI). Корпорація Майкрософт представила Secure Boot більше десяти років тому, і зараз вона вважається однією з них основи своєї системи Zero Trust для Windows через труднощі в його підриві.
Проте зловмисники та дослідники безпеки все більше й більше націлюються на впровадження Secure Boot, і це не без причини: оскільки UEFI є найнижчим рівнем мікропрограми в системі (відповідає за процес завантаження), пошук уразливості в коді інтерфейсу дозволяє зловмисник запускає зловмисне програмне забезпечення до того, як ядро операційної системи, програми безпеки та будь-яке інше програмне забезпечення можуть почати діяти. Це забезпечує імплантацію стійкого шкідливого програмного забезпечення, яке звичайні агенти безпеки не виявлять. Він також пропонує можливість виконувати в режимі ядра, контролювати та руйнувати будь-яку іншу програму на машині — навіть після перевстановлення ОС і заміни жорсткого диска — і завантажувати додаткові шкідливі програми на рівні ядра.
Попередні були деякі вразливості в технології завантаження, наприклад недолік BootHole, розкритий у 2020 році що вплинуло на завантажувач Linux GRUB2, і недолік мікропрограми в п'яти моделях ноутбуків Acer який можна використати для вимкнення безпечного завантаження. Міністерство внутрішньої безпеки США та Міністерство торгівлі ще недавно попередили про постійну загрозу викликані руткітами та буткітами програмного забезпечення в чернетці звіту про проблеми безпеки ланцюга постачання. Але BlackLotus значно підвищує ставки на проблеми з прошивкою.
Це тому, що в той час як Microsoft виправила недолік, на який націлено BlackLotus (уразливість, відому як Baton Drop або CVE-2022-21894), патч лише ускладнює експлуатацію, а не унеможливлює. Відповідно до попередження від Eclypsium, опублікованого цього тижня, вплив уразливості буде важко виміряти, оскільки постраждалі користувачі, швидше за все, не побачать ознак компрометації.
«Якщо зловмиснику все-таки вдасться закріпитись, компанії можуть працювати наосліп, оскільки успішна атака означає, що зловмисник обходить усі ваші традиційні засоби захисту», — каже Пол Асадуріан, головний проповідник безпеки в Eclypsium. «Вони можуть вимкнути журналювання та, по суті, збрехати про всі види захисних заходів, які ви можете мати в системі, щоб сказати вам, що все гаразд».
Зараз, коли BlackLotus був комерціалізований, це відкриває шлях для розробки подібних товарів, відзначають дослідники. «Ми очікуємо, що в майбутньому більше груп загроз включатимуть у свій арсенал обхід безпечного завантаження», — говорить Мартін Смолар, дослідник зловмисного програмного забезпечення в ESET. «Кінцевою метою кожного загрозливого суб’єкта є збереження системи, і з постійністю UEFI вони можуть працювати набагато прихованіше, ніж з будь-яким іншим видом постійності на рівні ОС».
Латок недостатньо
Незважаючи на те, що Microsoft виправила Baton Drop більше року тому, сертифікат уразливої версії залишається дійсним, згідно з Eclypsium. Зловмисники, які мають доступ до скомпрометованої системи, можуть встановити вразливий завантажувач, а потім використовувати вразливість, отримуючи наполегливість і більш привілейований рівень контролю.
Microsoft підтримує список криптографічних хешів законних завантажувачів Secure Boot. Щоб запобігти роботі вразливого завантажувача, компанії доведеться відкликати хеш, але це також завадить легітимним — хоча й невиправленим — системам працювати.
«Щоб це виправити, вам потрібно відкликати хеші цього програмного забезпечення, щоб повідомити Secure Boot і власний внутрішній процес Microsoft, що це програмне забезпечення більше не діє в процесі завантаження», — говорить Асадуріан. «Їм довелося б видати відкликання, оновити список відкликань, але вони цього не роблять, тому що це порушить багато речей».
Найкраще, що можуть зробити компанії, — це регулярно оновлювати своє мікропрограмне забезпечення та списки відкликань, а також відстежувати кінцеві точки на наявність ознак того, що зловмисник вніс зміни, йдеться у повідомленні Eclypsium.
Смолар з ESET, який керував попереднім розслідуванням в BlackLotus, йдеться у заяві від 1 березня очікувати зростання експлуатації.
«Невелика кількість зразків BlackLotus, які ми змогли отримати як із загальнодоступних джерел, так і з нашої телеметрії, змушує нас вважати, що не так багато суб’єктів загрози ще почали використовувати його», — сказав він. «Ми стурбовані тим, що ситуація швидко зміниться, якщо цей буткіт потрапить до груп злочинних програм, ґрунтуючись на простоті розгортання буткіта та можливостях груп злочинних програм поширювати шкідливе програмне забезпечення за допомогою своїх ботнетів».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up
- :є
- $UP
- 1
- 7
- a
- здатність
- Здатний
- МЕНЮ
- доступ
- За
- Acer
- дію
- діяльність
- актори
- Додатковий
- консультативний
- після
- агенти
- ВСІ
- дозволяє
- хоча
- аналіз
- та
- додатка
- ЕСТЬ
- навколо
- арсенал
- AS
- At
- атака
- доступний
- заснований
- основа
- BE
- оскільки
- перед тим
- Вірити
- КРАЩЕ
- бот-мережі
- Перерва
- by
- CAN
- можливості
- сертифікат
- ланцюг
- зміна
- код
- Торгівля
- Компанії
- компанія
- компроміс
- Компрометація
- стурбований
- вважається
- контроль
- може
- створення
- криптографічні
- Кібербезпека
- темно
- Dark Web
- десятиліття
- оборонний
- відділ
- управління внутрішньої безпеки
- розгортання
- розробка
- важкий
- трудність
- справи
- проект
- управляти
- Падіння
- Раніше
- легкий у використанні
- зусилля
- гарантує
- по суті
- Євангеліст
- Навіть
- Кожен
- все
- виконувати
- очікувати
- experts
- Експлуатувати
- експлуатація
- особливість
- виявлення
- Фірма
- Перший
- виправляти
- недолік
- потім
- для
- Підвалини
- Рамки
- від
- повністю
- фундаментальний
- майбутнє
- набирає
- отримати
- отримання
- мета
- добре
- Групи
- Руки
- Жорсткий
- жорсткий диск
- мішанина
- Мати
- Батьківщина
- Національна Безопаность
- HTTPS
- Impact
- неможливе
- in
- включення
- Augmenter
- показання
- вселяти
- встановлювати
- цілісність
- інтерфейс
- внутрішній
- введені
- питання
- питання
- IT
- ЙОГО
- JPG
- Дитина
- відомий
- портативний комп'ютер
- ноутбуки
- Веде за собою
- рівень
- Ймовірно
- Linux
- список
- списки
- загрузка
- завантажувач
- довше
- серія
- низький
- найнижчий рівень
- машина
- made
- підтримує
- РОБОТИ
- шкідливих програм
- управляти
- багато
- березня
- березня 1
- Мартін
- макс-ширина
- засоби
- вимір
- Microsoft
- може бути
- режим
- Поправки
- монітор
- більше
- Необхідність
- нормальний
- номер
- отримувати
- of
- Пропозиції
- добре
- on
- ONE
- працювати
- операційний
- операційна система
- оригінал
- OS
- Інше
- власний
- пластир
- Пол
- наполегливість
- plato
- Інформація про дані Платона
- PlatoData
- запобігати
- попередній
- Головний
- привілейовані
- процес
- програма
- громадськість
- опублікований
- Видавничий
- швидко
- Рамп
- швидко
- RE
- причина
- нещодавно
- регулярний
- залишається
- звітом
- дослідник
- Дослідники
- відповідальний
- біг
- s
- Зазначений
- говорить
- безпечний
- безпеку
- Сервери
- комплект
- Повинен
- істотно
- Ознаки
- аналогічний
- Софтвер
- деякі
- Source
- Джерела
- Поширення
- почалася
- Починаючи
- успішний
- такі
- поставка
- ланцюжка поставок
- система
- Systems
- цільове
- цілі
- Технологія
- Що
- Команда
- Майбутнє
- їх
- речі
- На цьому тижні
- загроза
- актори загроз
- Терміни
- до
- традиційний
- Довіряйте
- Фреймворк TRUST
- ПЕРЕГЛЯД
- кінцевий
- єдиний
- Оновити
- UPS
- us
- користувачі
- ПЕРЕВІР
- версія
- Уразливості
- вразливість
- Вразливий
- попередження
- шлях..
- Web
- week
- який
- в той час як
- ВООЗ
- волі
- windows
- з
- робочий
- б
- рік
- Ти
- вашу
- зефірнет
- нуль
- нульова довіра