BlackLotus zaobilazi Windows Secure Boot
Zlonamjerni softver BlackLotus zaobilazi Windows Secure Boot mehanizam zaštite ugrađen u Unified Extensible Firmware Interface – UEFI na potpuno ažuriranom Windows 11 operativnom sistemu.
UEFI i Secure Boot
Sigurnosno istraživači kompanije ESET su otkrili novi prikriveni bootkit nazvan BlackLotus koji može da zaobiđe Secure Boot mehanizam na Windows 11 operativnom sistemu. Secure Boot je sigurnosni mehanizam koji se nalazi u UEFI upravljačkom softveru (eng. firmware) dizajnira da otkriva neovlašteno korištenje programa za učitavanje operativnog sistema (eng. boot loader), ključnih datoteka operativnog sistema i opcionalnih ROM-ova kroz provjeru njihovih certifikata. Pokušaj zloupotrebe se blokira prije nego što napadač dobije mogućnost pristupa ili izmjene sistemske specifikacije.
BlackLotus
BlackLotus je do sada prvi UEFI bootkit koji ima mogućnost da zaobilazi Windows Secure Boot mehanizam zaštite na potpuno ažuriranom Windows 11 operativnom sistemu. Napisan u programskim jezicima asembler i C, ima veličinu od samo 80 kb, sa mogućnošću konfiguracije kôda za izbjegavanje regiona Zajednica nezavisnih država, odnosno saveza sastavljenog od 10 bivših sovjetskih republika.
Zlonamjerni softver ima podrški za izbjegavanje istražnih forenzičkih metoda kao što su detekcija virtualnih mašina, onemogućavanje praćenje grešaka i maskiranje kôda. Pored toga ima mogućnost onemogućavanja sigurnosnih riješena kao što su Hypervisor-protected Code Integrity (HVCI), BitLocker i Windows Defender, a može zaobići i mehanizme kao što su User Account Control (UAC) i Secure Boot. Sve ovo omogućava BlackLotus zlonamjernom softveru da pokrene upravljačke programe koji nisu potpisani digitalnim certifikatom kako bi mogao izvršavati široki spektar zlonamjernih radnji na inficiranom uređaju.
Prema dostupnim informacijama ovaj zlonamjerni moćni softver je dostupna za prodaju na hakerskim forumima od oktobra 2022. godine po cijeni od $5.000, a za svako novo ažuriranje potrebno je izdvojiti još $200.
Ublažavanje i sanacija
Korisnici mogu slijediti sljedeće preporuke:
- Najprije je potrebno da operativni sistem i bezbjednosni softver budu ažurirani kako bi se povećale šanse da se prijetnja zaustavi prije nego što ostvari uporište na uređaju.
- Ključni korak u sprečavanju iskorištavanja poznatih ranjivosti UEFI binarnih datoteka za zaobilaženje Secure Boot mehanizma zaštite je opoziv u bazi za opoziv UEFI (dbx). Na Windows sistemima dbx ažuriranja treba da se vrše pomoću Windows ažuriranja.
- Treba imati na umu da opoziv Windows UEFI binarnih datoteka koje su u širokoj upotrebi može uticati pokretanje zastarjelih operativnih sistema, kopija za oporavak ili rezervnih kopija, te dovesti do nemogućnosti pokretanja istih. To proces opoziva može učiniti veoma dugim i napornim.
- Treba voditi računa da bi opoziv Windows aplikacija koje koristi zlonamjerni softver BlackLotus mogao spriječiti instalaciju istog. Međutim, kako zlonamjerni softver vrši zamjenu programa za učitavanje operativnog sistema sa opozvanim, to može onemogućiti pokretanje operativnog sistema. U ovom slučaju, oporavak je jedino moguć ponovnom instalacijom operativnog sistema ili korištenjem ESP oporavka.
- Ako se opoziv napravi nakon što BlackLotus zlonamjerni softver ostvari uporište, on ostaje funkcionalan na uređaju, jer koristi legitimnu podršku sa prilagođenim ključem vlasnika mašine (eng. Machine Owner Key – MOK). U ovom slučaju, najsigurnija opcija je ponovna instalacija sistema i uklanjanje MOK ključa napadača pomoću alata mokutil (za ovo operaciju je potrebna fizička prisutnost uz uređaj).