A BlackLotus ellen adott ki útmutatót az NSA

Az NSA június 22-én kiadott egy útmutatót, amely segít a szervezeteknek a BlackLotus nevű UEFI bootkit fertőzéseinek felderítésében és megelőzésében.

A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel. A sebezhetőséget a Microsoft 2022 januárjában orvosolta.

Ezt a kiskaput a fenyegetési szereplők kihasználhatják arra, hogy a javított loadereket sebezhető verziókra cseréljék le, és BlackLotus-t futtassanak a veszélyeztetett végpontokon.

A BlackLotushoz hasonló UEFI bootkitek teljes ellenőrzést biztosítanak az operációs rendszer indítási folyamata felett, ezáltal lehetővé teszik a biztonsági mechanizmusok megváltoztatását és további payloadok telepítését megnövelt jogosultságokkal. A BlackLotus nem firmware fenyegetés, hanem a bootolási folyamat korai szoftveres szakaszára koncentrál a perzisztencia elérése érdekében. Nincs bizonyíték arra vonatkozóan, hogy a kártevő Linux rendszerekre is kártékony lenne.

A Microsoft orvosolt egy második, BlackLotus által kihaszált Secure Boot bypass hibát (CVE-2023-24932, CVSS score: 6.7). A szervezetek számára az alábbi lépések elvégzését javasolják:

  • Helyreállítási adathordozók frissítése
  • Defenzív szoftverek konfigurálása az EFI indítópartíció módosításainak ellenőrzésére
  • Az eszköz integritás és a rendszerindítási konfigurációnak a figyelemmel kísérése az EFI rendellenes változásai tekintetében
  • Az UEFI Secure Boot testreszabása a régebbi loaderek blokkolására
  • A Microsoft Windows Production CA 2011 tanúsítvány eltávolítása a kizárólag Linuxot indító eszközökről

A Microsoft fokozatos megközelítést alkalmaz a támadási vektor teljes lezárására. A javítások várhatóan 2024 első negyedévében lesznek széleskörben elérhetőek.

(thehackernews.com)

Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán:

CVE-2023-24932