Phần mềm độc hại bỏ qua khởi động an toàn BlackLotus được thiết lập để tăng tốc

BlackLotus, phần mềm độc hại thực sự đầu tiên vượt qua Secure Boot của Microsoft (ngay cả trên các hệ thống được vá đầy đủ), sẽ tạo ra các bản sao chép và có sẵn trong bộ khởi động dễ sử dụng trên Dark Web, truyền cảm hứng cho những kẻ tấn công chương trình cơ sở để tăng cường hoạt động của chúng, các chuyên gia bảo mật cho biết trong tuần này.

Điều đó có nghĩa là các công ty cần tăng cường nỗ lực để xác thực tính toàn vẹn của máy chủ, máy tính xách tay và máy trạm của họ, bắt đầu từ bây giờ.

Vào ngày 1 tháng XNUMX, công ty an ninh mạng ESET đã công bố một phân tích về Bộ khởi động BlackLotus, bỏ qua một tính năng bảo mật cơ bản của Windows được gọi là Khởi động an toàn Giao diện phần mềm mở rộng hợp nhất (UEFI). Microsoft đã giới thiệu Secure Boot hơn một thập kỷ trước và hiện nay nó được coi là một trong những nền tảng của khung Zero Trust cho Windows bởi vì khó khăn trong việc lật đổ nó.

Tuy nhiên, các tác nhân đe dọa và các nhà nghiên cứu bảo mật đã nhắm mục tiêu triển khai Khởi động an toàn ngày càng nhiều và vì lý do chính đáng: Vì UEFI là cấp phần sụn thấp nhất trên hệ thống (chịu trách nhiệm về quá trình khởi động), việc tìm kiếm lỗ hổng trong mã giao diện cho phép một kẻ tấn công thực thi phần mềm độc hại trước khi nhân hệ điều hành, ứng dụng bảo mật và bất kỳ phần mềm nào khác có thể hoạt động. Điều này đảm bảo việc cấy phần mềm độc hại dai dẳng mà các tác nhân bảo mật thông thường sẽ không phát hiện được. Nó cũng cung cấp khả năng thực thi ở chế độ nhân, để kiểm soát và phá hoại mọi chương trình khác trên máy — ngay cả sau khi cài đặt lại hệ điều hành và thay thế ổ cứng — và tải thêm phần mềm độc hại ở cấp nhân.

Đã có một số lỗ hổng trước đây trong công nghệ khởi động, chẳng hạn như lỗ hổng BootHole được tiết lộ vào năm 2020 đã ảnh hưởng đến bộ tải khởi động Linux GRUB2 và một lỗ hổng phần sụn trong năm mẫu máy tính xách tay Acer có thể được sử dụng để tắt Khởi động an toàn. Bộ An ninh Nội địa Hoa Kỳ và Bộ Thương mại thậm chí gần đây cảnh báo về mối đe dọa dai dẳng được đặt ra bởi rootkit phần sụn và bootkit trong một báo cáo dự thảo về các vấn đề bảo mật chuỗi cung ứng. Nhưng BlackLotus tăng đáng kể cổ phần đối với các sự cố phần sụn.

Đó là bởi vì trong khi Microsoft vá lỗ hổng mà BlackLotus nhắm đến (một lỗ hổng được gọi là Baton Drop hoặc CVE-2022-21894), bản vá chỉ làm cho việc khai thác trở nên khó khăn hơn — không phải là không thể. Và tác động của lỗ hổng sẽ khó đo lường, bởi vì những người dùng bị ảnh hưởng có thể sẽ không thấy dấu hiệu bị xâm phạm, theo một cảnh báo từ Eclypsium được công bố trong tuần này.

Paul Asadoorian, nhà truyền giáo bảo mật chính tại Eclypsium cho biết: “Nếu kẻ tấn công cố gắng giành được chỗ đứng, các công ty có thể sẽ mù quáng, bởi vì một cuộc tấn công thành công có nghĩa là kẻ tấn công đang vượt qua tất cả các biện pháp phòng thủ an ninh truyền thống của bạn”. “Họ có thể tắt tính năng ghi nhật ký và về cơ bản là nói dối mọi loại biện pháp đối phó phòng thủ mà bạn có thể có trên hệ thống để nói với bạn rằng mọi thứ đều ổn.”

Các nhà nghiên cứu lưu ý rằng giờ đây BlackLotus đã được thương mại hóa, nó mở đường cho sự phát triển của các sản phẩm tương tự. Martin Smolár, nhà nghiên cứu phần mềm độc hại tại ESET cho biết: “Chúng tôi hy vọng sẽ thấy nhiều nhóm mối đe dọa hơn kết hợp các đường vòng khởi động an toàn vào kho vũ khí của họ trong tương lai”. “Mục tiêu cuối cùng của mọi tác nhân đe dọa là duy trì sự tồn tại trên hệ thống và với sự tồn tại lâu dài của UEFI, chúng có thể hoạt động lén lút hơn nhiều so với bất kỳ loại tồn tại lâu dài nào ở cấp độ hệ điều hành khác.”

Vá là không đủ

Mặc dù Microsoft đã vá Baton Drop hơn một năm trước nhưng chứng chỉ của phiên bản dễ bị tấn công vẫn còn hiệu lực, theo Eclypsium. Những kẻ tấn công có quyền truy cập vào hệ thống bị xâm nhập có thể cài đặt bộ tải khởi động dễ bị tấn công, sau đó khai thác lỗ hổng, giành được sự kiên trì và mức độ kiểm soát đặc quyền hơn.

Microsoft duy trì một danh sách các hàm băm mật mã của bộ tải khởi động Khởi động an toàn hợp pháp. Để ngăn bộ tải khởi động dễ bị tổn thương hoạt động, công ty sẽ phải thu hồi mã băm, nhưng điều đó cũng sẽ ngăn các hệ thống hợp pháp — mặc dù chưa được vá — hoạt động.

Asadoorian cho biết: “Để khắc phục điều này, bạn phải thu hồi hàm băm của phần mềm đó để thông báo cho Secure Boot và quy trình nội bộ của chính Microsoft rằng phần mềm đó không còn hợp lệ trong quá trình khởi động”. “Họ sẽ phải đưa ra lệnh thu hồi, cập nhật danh sách thu hồi, nhưng họ không làm điều đó vì nó sẽ phá vỡ rất nhiều thứ.”

Eclypsium cho biết trong lời khuyên của mình, điều tốt nhất mà các công ty có thể làm là cập nhật chương trình cơ sở và danh sách thu hồi của họ một cách thường xuyên, đồng thời theo dõi các điểm cuối để biết dấu hiệu cho thấy kẻ tấn công đã thực hiện các sửa đổi.

Smolár của ESET, người dẫn đầu cuộc điều tra trước đó vào BlackLotus, cho biết trong một tuyên bố ngày 1 tháng XNUMX để mong đợi sự khai thác tăng lên.

Ông nói: “Số lượng mẫu BlackLotus mà chúng tôi có thể thu được thấp, cả từ các nguồn công cộng và dữ liệu đo từ xa của chúng tôi, khiến chúng tôi tin rằng chưa có nhiều kẻ đe dọa bắt đầu sử dụng nó”. “Chúng tôi lo ngại rằng mọi thứ sẽ thay đổi nhanh chóng nếu bootkit này rơi vào tay các nhóm tội phạm, dựa trên khả năng triển khai dễ dàng của bootkit và khả năng phát tán phần mềm độc hại bằng cách sử dụng mạng botnet của chúng.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up