Η NSA μοιράζεται συμβουλές για τον αποκλεισμό επιθέσεων κακόβουλου λογισμικού BlackLotus UEFI

Η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) δημοσίευσε σήμερα οδηγίες σχετικά με τον τρόπο άμυνας έναντι επιθέσεων κακόβουλου λογισμικού bootkit του BlackLotus UEFI.

Το BlackLotus κυκλοφορεί σε φόρουμ

hacking

από τον Οκτώβριο του 2022, διατίθεται στην αγορά ως κακόβουλο λογισμικό ικανό να αποφύγει τον εντοπισμό, να αντέχει τις προσπάθειες αφαίρεσης και να εξουδετερώνει πολλαπλές λειτουργίες ασφαλείας των

Windows

, όπως το Defender, το HVCI και το BitLocker.

Τον Μάιο, η

Microsoft

κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση μιας ευπάθειας Secure Boot zero-day (

CVE-2023-24932

) που χρησιμοποιήθηκε για την παράκαμψη ενημερώσεων κώδικα που κυκλοφόρησαν για το CVE-2022-21894, το σφάλμα Secure Boot που χρησιμοποιήθηκε αρχικά στις επιθέσεις BlackLotus πέρυσι.

Ωστόσο, η ενημέρωση κώδικα CVE-2023-24932 είναι απενεργοποιημένη από προεπιλογή και δεν θα καταργήσει το διάνυσμα επίθεσης που χρησιμοποιείται για την ανάπτυξη του BlackLotus.

Για την ασφάλεια των συσκευών Windows, οι διαχειριστές πρέπει να υποβληθούν σε μια μη αυτόματη διαδικασία που απαιτεί πολλαπλά βήματα “για την ενημέρωση μέσων με δυνατότητα εκκίνησης και την εφαρμογή ανακλήσεων πριν από την ενεργοποίηση αυτής της ενημέρωσης”.

“Το BlackLotus μπορεί να σταματήσει πολύ σε πλήρως ενημερωμένα τελικά σημεία των Windows, συσκευές προσαρμοσμένες σε ασφαλή εκκίνηση ή τερματικά σημεία Linux. Η Microsoft έχει κυκλοφορήσει ενημερώσεις κώδικα και συνεχίζει να σκληραίνει τους μετριασμούς κατά των BlackLotus και Baton Drop”, το

είπε η NSA

.

“Η κοινότητα του Linux ενδέχεται να καταργήσει το πιστοποιητικό Microsoft Windows Production CA 2011 σε συσκευές που εκκινούν αποκλειστικά το Linux. Οι επιλογές μετριασμού που είναι διαθέσιμες σήμερα θα ενισχυθούν με αλλαγές στα πιστοποιητικά ασφαλούς εκκίνησης προμηθευτή στο μέλλον (ορισμένα πιστοποιητικά λήγουν από το 2026).”

Συμβουλές μετριασμού

Ο Zachary Blum, Αναλυτής Ασφαλείας Πλατφόρμας της NSA, συμβούλεψε σήμερα τους διαχειριστές συστημάτων και τους υπερασπιστές δικτύων να εφαρμόσουν επίσης σκληρυντικές ενέργειες σε συστήματα που έχουν διορθωθεί έναντι αυτής της ευπάθειας.

“Η NSA συνιστά στους διαχειριστές συστήματος εντός του Υπουργείου Άμυνας και σε άλλα δίκτυα να αναλάβουν δράση. Το BlackLotus δεν αποτελεί απειλή υλικολογισμικού, αλλά στοχεύει στο πρώτο στάδιο εκκίνησης λογισμικού”, η NSA

είπε

.

“Οι αμυντικές λύσεις λογισμικού μπορούν να διαμορφωθούν ώστε να ανιχνεύουν και να αποτρέπουν την εγκατάσταση του ωφέλιμου φορτίου BlackLotus ή το συμβάν επανεκκίνησης που ξεκινά την εκτέλεση και την εμφύτευσή του. Η NSA πιστεύει ότι οι τρέχουσες ενημερώσεις κώδικα θα μπορούσαν να παρέχουν μια ψευδή αίσθηση ασφάλειας για ορισμένες υποδομές.”

Στη σημερινή διαβούλευση, η υπηρεσία πληροφοριών των ΗΠΑ συνέστησε τα ακόλουθα μέτρα ως πρόσθετους μετριασμούς:

• Εφαρμόστε τις πιο πρόσφατες ενημερώσεις ασφαλείας, ενημερώστε τα μέσα ανάκτησης και ενεργοποιήστε τον προαιρετικό μετριασμό
• Σκληρύνετε τις αμυντικές πολιτικές διαμορφώνοντας το λογισμικό ασφαλείας τελικού σημείου ώστε να αποκλείει τις προσπάθειες εγκατάστασης κακόβουλου λογισμικού BlackLotus
• Χρησιμοποιήστε προϊόντα ασφάλειας τελικού σημείου και εργαλεία παρακολούθησης υλικολογισμικού για να παρακολουθείτε τις μετρήσεις ακεραιότητας της συσκευής και τη διαμόρφωση εκκίνησης
• 
  Προσαρμόστε την Ασφαλή εκκίνηση του UEFI
  
  για τον αποκλεισμό παλαιότερων (πριν από τον Ιανουάριο 2022), υπογεγραμμένες συσκευές φόρτωσης εκκίνησης των Windows

Το BlackLotus έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν τα

Windows 10

και 11 για την εκμετάλλευση μιας ευπάθειας (αναφέρεται ως Baton Drop και παρακολουθείται ως CVE-2022-21894) που βρίσκεται σε παλαιότερους φορτωτές εκκίνησης (γνωστοί και ως διαχειριστές εκκίνησης) που βοηθά στην παράκαμψη της προστασίας Secure Boot και στην ενεργοποίηση μιας σειράς κακόβουλων ενεργειών που έχουν σχεδιαστεί για να θέσουν σε κίνδυνο την ασφάλεια του συστήματος.

Με τη μόχλευση του CVE-2022-21894, οι εισβολείς καταργούν την πολιτική ασφαλούς εκκίνησης, αποτρέποντας την επιβολή της (οι φορτωτές εκκίνησης που επηρεάζονται από αυτήν την ευπάθεια δεν έχουν ακόμη συμπεριληφθεί στη λίστα ανάκλησης Secure Boot DBX).

“Ωστόσο, δεν εκδόθηκαν ενημερώσεις κώδικα για την ανάκληση της εμπιστοσύνης σε φορτωτές εκκίνησης που δεν έχουν επιδιορθωθεί μέσω της βάσης δεδομένων Secure Boot Deny List (DBX). Οι διαχειριστές δεν θα πρέπει να θεωρούν ότι η απειλή έχει αποκατασταθεί πλήρως, καθώς οι φορτωτές εκκίνησης που είναι ευάλωτοι στο Baton Drop εξακολουθούν να είναι αξιόπιστοι από την Secure Boot”, η NSA είπε.

Ως αποτέλεσμα, οι εισβολείς μπορούν να αντικαταστήσουν πλήρως διορθωμένους φορτωτές εκκίνησης με ευάλωτες εκδόσεις, επιτρέποντάς τους να εγκαταστήσουν και να εκτελέσουν το κακόβουλο λογισμικό σε παραβιασμένες συσκευές.

Κατά τη διαδικασία εγκατάστασης του BlackLotus, ένα παλαιότερο δυαδικό αρχείο επεκτάσιμου υλικολογισμικού διεπαφής (EFI) του φορτωτή εκκίνησης των Windows αναπτύσσεται στο διαμέρισμα εκκίνησης. Στη συνέχεια, οι προστασίες BitLocker και Memory Integrity απενεργοποιούνται ακριβώς πριν από την επανεκκίνηση της συσκευής για την εκκίνηση και την εμφύτευση του κακόβουλου λογισμικού.

“Η προστασία των συστημάτων από το BlackLotus δεν είναι μια απλή λύση. Η επιδιόρθωση είναι ένα καλό πρώτο βήμα, αλλά συνιστούμε επίσης ενέργειες σκλήρυνσης, ανάλογα με τις διαμορφώσεις του συστήματός σας και το λογισμικό ασφαλείας που χρησιμοποιείται”, είπε η Blum.