Πηγαίος κώδικας για το BlackLotus που παρέκαμψε τις διαρροές των Windows Secure Boot, Microsoft Defender, VBS

Πριν από λίγες ημέρες, μέσω της Τρίτης ενημέρωσης κώδικα Ιουλίου, η

Microsoft

παρουσίασε τη δεύτερη φάση σκλήρυνσης για την ευπάθεια ασφαλούς εκκίνησης BlackLotus. Για την αντιμετώπιση του προβλήματος κυκλοφόρησαν ασφαλείς δυναμικές ενημερώσεις λειτουργικού συστήματος τόσο για τα

Windows 11

όσο και για τα

Windows

10. Η πρώτη φάση συνέβη πριν από περίπου τέσσερις μήνες, τον Μάρτιο του 2023.

Για όσους δεν γνωρίζουν, το BlackLotus ήταν διαβόητο για την ικανότητά του να παρακάμπτει διάφορα μέτρα ασφαλείας των Windows, όπως το Secure Boot (το οποίο είναι προφανές καθώς είναι ένα ελάττωμα ασφαλούς εκκίνησης), καθώς και το Microsoft Defender, Virtualization-based Security (VBS) ή HVCI (Hypervisor- Προστατευμένη ακεραιότητα κώδικα), BitLocker και UAC (έλεγχος λογαριασμού χρήστη), ακόμη και σε ενημερωμένα συστήματα Windows εκείνης της εποχής.

Εν τω μεταξύ, ο πηγαίος κώδικας για το BlackLotus διέρρευσε επίσης σχεδόν την ίδια στιγμή. Ανέβηκε στο

GitHub

από έναν χρήστη Yukari που αφαίρεσε την ευπάθεια Baton Drop (CVE-2022-21894) που χρησιμοποιήθηκε αρχικά από τους προγραμματιστές κακόβουλου λογισμικού.

Ο Alex Matrosov, Διευθύνων Σύμβουλος και συνιδρυτής της εταιρείας ερευνών ασφαλείας Binarly εξέφρασε την ανησυχία του για τη διαρροή του και παρείχε την ακόλουθη δήλωση στον Neowin εξηγώντας τις πιθανές επιπτώσεις:

Ο πηγαίος κώδικας που διέρρευσε δεν είναι πλήρης και περιέχει κυρίως το τμήμα του rootkit και τον κώδικα του bootkit για παράκαμψη της Ασφαλούς εκκίνησης. Τα περισσότερα από αυτά τα κόλπα και οι τεχνικές είναι γνωστά στο παρελθόν εδώ και χρόνια και δεν παρουσιάζουν σημαντικό αντίκτυπο. Ωστόσο, το γεγονός ότι είναι δυνατός ο συνδυασμός τους με νέα exploits όπως έκανε η καμπάνια BlackLotus ήταν κάτι απροσδόκητο για τη βιομηχανία και δείχνει τους πραγματικούς περιορισμούς των τρεχόντων μετριασμούς κάτω από το λειτουργικό σύστημα.

Η διαρροή BlackLotus δείχνει πόσο παλιά κόλπα rootkit και bootkit, σε συνδυασμό με νέα τρωτά σημεία παράκαμψης Secure Boot, μπορούν ακόμα να είναι πολύ αποτελεσματικά για να τυφλώσουν πολλές σύγχρονες λύσεις ασφάλειας τελικού σημείου. Σε γενικές γραμμές, δείχνει την πολυπλοκότητα της αλυσίδας εφοδιασμού στο άκρο της Microsoft, όπου η επιδιόρθωση ήταν πιο συντακτική και δεν μετριάζει ολόκληρη την κατηγορία των σχετικών προβλημάτων κάτω από το λειτουργικό σύστημα. Και για να είμαστε ξεκάθαροι, η BlackLotus υιοθέτησε μια ήδη γνωστή δημόσια εκμετάλλευση του BatonDrop.

Ακόμη και αφού ο προμηθευτής διορθώσει τα τρωτά σημεία ασφαλούς παράκαμψης εκκίνησης που σχετίζονται με το BatonDrop, τα τρωτά σημεία μπορεί να έχουν μακροπρόθεσμο αντίκτυπο στην αλυσίδα εφοδιασμού σε ολόκληρη τη βιομηχανία. Η χρήση του CVE-2022-21894 ως παράδειγμα δείχνει πώς μπορούν να εκμεταλλευτούν τέτοιες ευπάθειες στη φύση μετά από ένα χρόνο, ακόμη και με διαθέσιμη μια επιδιόρθωση από τον προμηθευτή.

Οι υπερασπιστές των επιχειρήσεων και οι CISO πρέπει να κατανοήσουν ότι οι απειλές κάτω από το λειτουργικό σύστημα είναι σαφείς και ενέχουν κινδύνους για το περιβάλλον τους. Δεδομένου ότι αυτός ο φορέας επίθεσης έχει σημαντικά οφέλη για τον εισβολέα, θα γίνει πιο περίπλοκος και πιο περίπλοκος. Οι ισχυρισμοί των προμηθευτών σχετικά με τα χαρακτηριστικά ασφαλείας μπορεί να είναι εντελώς αντίθετοι από την πραγματικότητα.

Οι ανησυχίες είναι σίγουρα δικαιολογημένες καθώς οι προγραμματιστές κακόβουλου λογισμικού βελτιώνονται στις δουλειές τους. Πρόσφατα, η εταιρεία ασφαλείας Cisco Talos επαίνεσε την ικανότητα των προγραμματιστών του RedDriver, σημειώνοντας ότι η σταθερότητα του προγράμματος οδήγησης ήταν σχεδόν άψογη καθώς δεν είχε ποτέ μια φορά BSOD’ (Μπλε οθόνη θανάτου).