Το BlackLotus, το κακόβουλο λογισμικό που μπορεί να παρακάμψει τις προστασίες Secure Boot και να θέσει σε κίνδυνο υπολογιστές με Windows, έχει προκαλέσει αναταραχή στην NSA, η οποία δημοσίευσε σήμερα έναν οδηγό για να βοηθήσει τους οργανισμούς να ανιχνεύσουν και να αποτρέψουν μολύνσεις από το bootkit UEFI.
Δείτε επίσης: Η παραβίαση του MOVEIt επηρεάζει τις εταιρείες GenWorth και CalPERS
Ο επικεφαλής ερευνητής ασφαλείας της Kaspersky, Sergey Lozhkin, διαπίστωσε ότι το BlackLotus πωλείται σε αγορές ηλεκτρονικού εγκλήματος για περίπου 5.000 δολάρια το καθένα τον Οκτώβριο.
Στη συνέχεια, σε έρευνα που δημοσιεύτηκε τον Μάρτιο, ο αναλυτής κακόβουλου λογισμικού της ESET Martin Smolár επιβεβαίωσε ότι ο μύθος ενός in-the-wild bootkit που παρακάμπτει το Secure Boot «είναι πλέον πραγματικότητα», σε αντίθεση με τις υποθετικές απειλές που εγείρονται από ορισμένους ειδικούς.
Δεν έχει παρατηρηθεί παραλλαγή του κακόβουλου λογισμικού που να στοχεύει το Linux- το BlackLotus στοχεύει αυστηρά σε μηχανήματα Microsoft Windows.
Δείτε επίσης: Κινέζοι χάκερ μόλυναν κατά λάθος ένα ευρωπαϊκό νοσοκομείο με malware
Ωστόσο, μολύνοντας το firmware ενός υπολογιστή το BlackLotus φορτώνει πριν από οτιδήποτε άλλο στη διαδικασία εκκίνησης, συμπεριλαμβανομένου του λειτουργικού συστήματος και οποιωνδήποτε εργαλείων ασφαλείας που θα μπορούσαν να το σταματήσουν.
Αυτό επιτυγχάνεται με την εκμετάλλευση ενός ελαττώματος ασφαλείας του boot loader των Windows, CVE-2022-21894, επίσης γνωστό ως Baton Drop. Η Microsoft εξέδωσε μια ενημερωμένη έκδοση για να διορθώσει αυτό το σφάλμα τον Ιανουάριο του περασμένου έτους, ωστόσο η BlackLotus έκανε κατάχρηση μιας άλλης ευπάθειας, του CVE-2023-24932, για να νικήσει την προηγούμενη ενημερωμένη έκδοση.
Ενώ η εταιρεία διόρθωσε το CVE-2023-24932 τον Μάιο του τρέχοντος έτους, “δεν εκδόθηκαν επιδιορθώσεις για την ανάκληση της εμπιστοσύνης σε unpatched boot loaders μέσω της Secure Boot Deny List Database (DBX)”, σύμφωνα με τον οδηγό της NSA για την καταστροφή του BlackLotus [PDF].
Για να είμαστε σαφείς: κανείς δεν λέει να μην επιδιορθώσετε και οι οργανισμοί θα πρέπει οπωσδήποτε να εφαρμόσουν τις διορθώσεις για το 2022 και τον Μάρτιο του 2023.
Αλλά μην υποθέσετε ότι η απειλή έχει εξαφανιστεί μόνο και μόνο επειδή έχετε κλείσει τις τρύπες. Ενώ “η επιδιόρθωση είναι ένα καλό πρώτο βήμα”, σύμφωνα με τον Zachary Blum, Platform Security Analyst της NSA – κυριολεκτικά, είναι η πρώτη “σύσταση μετριασμού” στην έκθεση της BlackLotus – η υπηρεσία κατασκοπείας της αμερικανικής κυβέρνησης συνιστά επίσης στους οργανισμούς να λαμβάνουν πρόσθετα μέτρα για την προστασία τους.
Δείτε επίσης: Το ισχυρό JavaScript Dropper PindOS διανέμει malware Bumblebee και IcedID
Είναι σημαντικό να σημειωθεί ότι, ενώ τα Windows 10 και 11 έχουν εφαρμόσιμες ενημερώσεις ασφαλείας και συνεχείς εφαρμογές μετριασμού για το BlackLotus, αυτές δεν είναι διαθέσιμες για παλαιότερες εκδόσεις. Επομένως, εάν χρησιμοποιείτε μία από αυτές, καλό θα ήταν να μεταβείτε σε μια υποστηριζόμενη έκδοση των Windows ή σε άλλο λειτουργικό σύστημα.
Πηγή πληροφοριών: theregister.com
