0
0
A Agência de Segurança Nacional dos EUA (NSA) está pedindo aos administradores de sistemas que vão além da aplicação de patches para proteger as máquinas Windows 10 e 11 do malware do bootkit BlackLotus.
A BlackLotus entrou em cena no outono passado, quando foi vista à venda na Dark Web por US$ 5.000. Ele tem a distinção duvidosa de ser o primeiro malware selvagem a ignorar com sucesso as proteções de Inicialização Segura UEFI (Unified Extensible Firmware Interface) da Microsoft.
UEFI é o firmware que é responsável pela rotina de inicialização, por isso carrega antes do kernel do sistema operacional e qualquer outro software. O BlackLotus — um software, não uma ameaça de firmware, note-se — aproveita duas vulnerabilidades na função UEFI Secure Boot para se inserir na fase inicial do processo de inicialização de software iniciado pela UEFI: CVE-2022-21894, também conhecido como Baton Drop, pontuação CVSS 4.4; e CVE-2023-24932, pontuação CVSS 6,7. Eles foram corrigidos pela Microsoft em janeiro de 2022 e maio de 2023, respectivamente.
Mas a principal divisão de inteligência tecnológica do país alertou que aplicar os patches disponíveis do Windows 10 e do Windows 11 é apenas um “bom primeiro passo”.
“Os patches não foram emitidos para revogar a confiança em carregadores de inicialização não corrigidos por meio do banco de dados DBX (Secure Boot Deny List)”, de acordo com um guia de mitigação BlackLotus (PDF) lançado pela NSA esta semana. “Os administradores não devem considerar a ameaça totalmente remediada, pois os carregadores de inicialização vulneráveis ao Baton Drop ainda são confiáveis pela Inicialização Segura.”
Isso significa que os agentes mal-intencionados podem simplesmente substituir carregadores de inicialização totalmente corrigidos por versões legítimas, mas vulneráveis, a fim de executar o BlackLotus em pontos de extremidade comprometidos. É um problema que a Microsoft está resolvendo com uma correção mais abrangente planejada para lançamento no início de 2024, mas até lá, a NSA recomenda que os proprietários de infraestrutura tomem medidas adicionais para fortalecer seus sistemas, como reforçar as políticas executáveis do usuário e monitorar a integridade da partição de inicialização. Uma atenuação avançada opcional é personalizar a política de Inicialização Segura adicionando registros DBX a todos os pontos de extremidade do Windows.
“Proteger os sistemas contra o BlackLotus não é uma solução simples”, disse o analista de segurança da plataforma da NSA, Zachary Blum, no comunicado.
E, de fato, o conselho oferece conselhos abrangentes de endurecimento, mas implementar totalmente a orientação da NSA é um processo em si, observa John Gallagher, vice-presidente da Viakoo Labs.
“Dada a natureza manual da orientação da NSA, muitas organizações descobrirão que não têm os recursos necessários para corrigir totalmente essa vulnerabilidade. Medidas adicionais, como uso de controle de acesso à rede e análise de tráfego, também devem ser usadas até que a Microsoft possa fornecer uma correção mais completa”, diz ele.
BlackLotus, um bootkit inédito
A execução de malware como o BlackLotus oferece aos ciberatacantes várias vantagens significativas, incluindo garantir a persistência mesmo após reinstalações do sistema operacional e substituições do disco rígido. E, como o código incorreto é executado no modo kernel antes do software de segurança, ele é indetectável por defesas padrão como BitLocker e Windows Defender (e pode realmente desativá-los completamente). Ele também pode controlar e subverter todos os outros programas na máquina e pode carregar malware furtivo adicional que será executado com privilégios de root.
“As vulnerabilidades UEFI, como mostra a orientação da NSA, são particularmente difíceis de mitigar e remediar porque estão no estágio inicial das interações de software e hardware”, diz Gallagher. “A orientação que a NSA está fornecendo é extremamente importante como um lembrete para prestar atenção às vulnerabilidades no nível de inicialização e ter um método para resolvê-las.”
Tudo parece muito terrível – uma avaliação da qual muitos administradores de sistemas concordam. Mas, como a NSA observou, a maioria das equipes de segurança está confusa sobre como combater o perigo que o bootkit representa.
“Algumas organizações usam termos como ‘imparável’, ‘inmatável’ e ‘incorrigível’ para descrever a ameaça”, de acordo com a orientação da NSA. “Outras organizações acreditam que não há ameaça, devido aos patches que a Microsoft lançou em janeiro de 2022 e início de 2023 para versões suportadas do Windows. O risco existe em algum lugar entre os dois extremos.”
A NSA não forneceu uma explicação para o motivo pelo qual está emitindo a orientação agora – ou seja, não emitiu informações sobre esforços recentes de exploração em massa ou incidentes na natureza. Mas John Bambenek, principal caçador de ameaças da Netenrich, observa que a NSA deve indicar que o BlackLotus é uma ameaça que requer atenção.
“Sempre que a NSA lança uma ferramenta ou orientação, a informação mais importante é o que eles não estão dizendo”, diz ele. “Eles levaram tempo e esforço para desenvolver essa ferramenta, desclassificá-la e liberá-la. Eles nunca dirão o porquê, mas o motivo valeu um desvio significativo de como eles geralmente operam sem dizer nada.”
FONTE: DARK READING