0 0 BlackLotus, o primeiro malware selvagem a contornar o Secure Boot da Microsoft (mesmo em sistemas totalmente corrigidos), gerará imitadores e, disponível em um kit de inicialização fácil de usar na Dark Web, inspirará invasores de firmware a aumentar sua atividade, especialistas em segurança disseram esta semana.
Isso significa que as empresas precisam aumentar os esforços para validar a integridade de seus servidores, laptops e estações de trabalho, começando agora.
Em 1º de março, a empresa de segurança cibernética ESET publicou uma análise do BlackLotus bootkit , que ignora um recurso de segurança fundamental do Windows conhecido como Unified Extensible Firmware Interface (UEFI) Secure Boot. A Microsoft introduziu o Secure Boot há mais de uma década e agora é considerado um dos alicerces de sua estrutura Zero Trust para Windows devido à dificuldade em subvertê-lo.
No entanto, os agentes de ameaças e os pesquisadores de segurança visam cada vez mais as implementações de inicialização segura e por um bom motivo: como o UEFI é o nível mais baixo de firmware em um sistema (responsável pelo processo de inicialização), encontrar uma vulnerabilidade no código da interface permite uma invasor execute malware antes que o kernel do sistema operacional, os aplicativos de segurança e qualquer outro software possam entrar em ação. Isso garante a implantação de malware persistente que os agentes de segurança normais não detectarão. Ele também oferece a capacidade de executar no modo kernel, controlar e subverter todos os outros programas na máquina – mesmo após a reinstalação do sistema operacional e a substituição do disco rígido – e carregar malware adicional no nível do kernel.
Houve algumas vulnerabilidades anteriores na tecnologia de inicialização, como a falha BootHole divulgada em 2020 que afetou o bootloader Linux GRUB2 e uma falha de firmware em cinco modelos de laptop Acer que podem ser usados
Isso ocorre porque, embora a Microsoft tenha corrigido a falha visada pelo BlackLotus (uma vulnerabilidade conhecida como Baton Drop ou CVE-2022-21894 ), o patch apenas torna a exploração mais difícil – não impossível. E o impacto da vulnerabilidade será difícil de medir, porque os usuários afetados provavelmente não verão sinais de comprometimento, de acordo com um aviso da Eclypsium publicado esta semana.
“Se um invasor conseguir se firmar, as empresas podem estar cegas, porque um ataque bem-sucedido significa que um invasor está contornando todas as suas defesas de segurança tradicionais”, diz Paul Asadoorian, principal evangelista de segurança da Eclypsium. “Eles podem desativar o registro e, essencialmente, mentir para todo tipo de contramedida defensiva que você possa ter no sistema para dizer que está tudo bem”.
Agora que o BlackLotus foi comercializado, ele abre caminho para o desenvolvimento de produtos semelhantes, observam os pesquisadores. “Esperamos ver mais grupos de ameaças incorporando desvios de inicialização segura em seu arsenal no futuro”, diz Martin Smolár, pesquisador de malware da ESET. “O objetivo final de todo agente de ameaças é a persistência no sistema e, com a persistência UEFI, eles podem operar muito mais furtivamente do que com qualquer outro tipo de persistência no nível do sistema operacional”.
Remendar não é suficiente
Embora a Microsoft tenha corrigido o Baton Drop há mais de um ano, o certificado da versão vulnerável permanece válido, de acordo com a Eclypsium . Os invasores com acesso a um sistema comprometido podem instalar um gerenciador de inicialização vulnerável e explorar a vulnerabilidade, obtendo persistência e um nível de controle mais privilegiado.
A Microsoft mantém uma lista de hashes criptográficos de bootloaders legítimos do Secure Boot. Para evitar que o gerenciador de inicialização vulnerável funcione, a empresa teria que revogar o hash, mas isso também impediria o funcionamento de sistemas legítimos – embora não corrigidos.
“Para corrigir isso, você precisa revogar os hashes desse software para informar ao Secure Boot e ao próprio processo interno da Microsoft que esse software não é mais válido no processo de inicialização”, diz Asadoorian. “Eles teriam que emitir a revogação, atualizar a lista de revogações, mas não estão fazendo isso, porque quebraria muitas coisas.”
O melhor que as empresas podem fazer é atualizar suas listas de firmware e revogação regularmente e monitorar os endpoints em busca de indicações de que um invasor fez modificações, disse a Eclypsium em seu comunicado.
Smolár, da ESET, que liderou a investigação anterior sobre o BlackLotus, disse em um comunicado em 1º de março que espera que a exploração aumente.
“O baixo número de amostras do BlackLotus que conseguimos obter, tanto de fontes públicas quanto de nossa telemetria, nos leva a acreditar que poucos agentes de ameaças começaram a usá-lo ainda”, disse ele. “Estamos preocupados que as coisas mudem rapidamente se este bootkit cair nas mãos de grupos de crimeware, com base na fácil implantação do bootkit e nos recursos dos grupos de crimeware para espalhar malware usando suas botnets”.
FONTE: DARK READING
