Az NSA június 22-én kiadott egy útmutatót, amely segít a szervezeteknek a BlackLotus nevű UEFI bootkit fertőzéseinek felderítésében és megelőzésében.
A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel. A sebezhetőséget a Microsoft 2022 januárjában orvosolta.
Ezt a kiskaput a fenyegetési szereplők kihasználhatják arra, hogy a javított loadereket sebezhető verziókra cseréljék le, és BlackLotus-t futtassanak a veszélyeztetett végpontokon.
A BlackLotushoz hasonló UEFI bootkitek teljes ellenőrzést biztosítanak az operációs rendszer indítási folyamata felett, ezáltal lehetővé teszik a biztonsági mechanizmusok megváltoztatását és további payloadok telepítését megnövelt jogosultságokkal. A BlackLotus nem firmware fenyegetés, hanem a bootolási folyamat korai szoftveres szakaszára koncentrál a perzisztencia elérése érdekében. Nincs bizonyíték arra vonatkozóan, hogy a kártevő Linux rendszerekre is kártékony lenne.
A Microsoft orvosolt egy második, BlackLotus által kihaszált Secure Boot bypass hibát (CVE-2023-24932, CVSS score: 6.7). A szervezetek számára az alábbi lépések elvégzését javasolják:
- Helyreállítási adathordozók frissítése
- Defenzív szoftverek konfigurálása az EFI indítópartíció módosításainak ellenőrzésére
- Az eszköz integritás és a rendszerindítási konfigurációnak a figyelemmel kísérése az EFI rendellenes változásai tekintetében
- Az UEFI Secure Boot testreszabása a régebbi loaderek blokkolására
- A Microsoft Windows Production CA 2011 tanúsítvány eltávolítása a kizárólag Linuxot indító eszközökről
A Microsoft fokozatos megközelítést alkalmaz a támadási vektor teljes lezárására. A javítások várhatóan 2024 első negyedévében lesznek széleskörben elérhetőek.
