Az NSA június 22-én kiadott egy útmutatót, amely segít a szervezeteknek a BlackLotus nevű UEFI bootkit fertőzéseinek felderítésében és megelőzésében.
A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel. A sebezhetőséget a Microsoft 2022 januárjában orvosolta.
A BlackLotus nevű kártevő egy új fenyegetés, amely képes kompromittálni a gépek UEFI-jét és BIOS-át. Az ESET kutatói már elemezték a kártevőt, és megerősítették, hogy az első lépései a Windows hibáinak és folyamatainak kihasználásával történnek meg. A BlackLotus ezután beleírja magát a BIOS/UEFI rendszerbe, és feltölti a szükséges kulcsokat, amelyeket korábban Windows alatt sikerült feltörnie.
Amikor a BlackLotus már az UEFI-be telepedett, képes különböző műveleteket végezni a Windows rendszeren, mint például az UAC vagy a Bitlocker kikapcsolása, valamint HTTP forgalom generálása. A kártevőnek valószínűleg problémái lehetnek Linux alatt, mivel az UEFI-ben megadott függőségek hiányoznak, és az elérhető kommunikációs lehetőségek korlátozottak. Ezenkívül, ha a Windows rendszer sérült, a BlackLotus működése alatt is problémák lehetnek. Bár az ESET kutatói arról számoltak be, hogy a BlackLotus nagyon veszélyes, néhány szenzációhajhász cikk azt állította, hogy a kártevő teljesen detektálhatatlan és írhatatlan. Azonban ez nem igaz, mert ha a kártevő az UEFI-be ír, akkor a következő BIOS frissítéskor az író program ellenőrizheti a fájltöredezeteket, és észreveheti a kártevő jelenlétét.
A BlackLotus megjelenése sokakat összefüggésbe hozzák a WSL-el (Windows Subsystem for Linux), amelyet azért hoztak létre, hogy a felhasználók Linuxot futtathassanak a Windows rendszeren. Azonban vannak olyan aggodalmak is, hogy a WSL a rosszfiúk kezébe is kerülhet, és olyan hibákat hozhat elő, amelyekre korábban nem volt példa. A BlackLotus azonban nem csak azért érdekes, mert képes átjutni a Windows védelmén, hanem mert képes feltelepülni az UEFI-be is. Az UEFI az egy új generációs BIOS, amely biztonságosabb és rugalmasabb, mint elődje. Azonban a BlackLotus bizonyítja, hogy semmi sem 100%-osan biztonságos.
A fenyegetés nem csak az UEFI-be való bejutása miatt érdekes, hanem azért is, mert az általa keltett HTTP forgalommal kommunikál az internetre. Ez azt jelenti, hogy a fertőzött gép „titkos” parancsokat kaphat a támadóktól, akik így távolról is képesek elérni és irányítani a rendszert.
Az Eset elemzői szerint a BlackLotus a BlackEnergy csoport munkája lehet, amely korábban már felelős volt más, súlyos károkat okozó kártevőkért is, például az Ukrajnában talált BlackEnergy 3 és KillDisk.
Az Eset szerint a BlackLotus már 2019-ben is aktív volt, azonban csak most került napvilágra. A kártevő célja, mint a legtöbb hasonló programnak, az adatszerzés és a rendszer irányítása. Azonban az UEFI-be való bejutás miatt a BlackLotus sokkal nehezebben azonosítható és eltávolítható, mint más kártevők.
A BlackLotus tehát egy újabb figyelmeztetés arra, hogy semmi sem biztonságos 100%-ban. A felhasználóknak érdemes odafigyelniük a biztonsági beállításaikra, a frissítésekre és a megbízható forrásokból származó szoftverek használatára. Emellett azonban a fejlesztőknek is folyamatosan dolgozniuk kell a biztonságosabb rendszerek létrehozásán, amelyeket még a legtapasztaltabb hackerek sem képesek feltörni.
Azonban az ESET által felfedezett BlackLotus kártevő újabb bizonyíték arra, hogy a kibertámadók képesek kihasználni az egyre összetettebb rendszerekben rejlő sebezhetőségeket. Az UEFI-be történő beépülés pedig egy olyan területet érint, amely korábban relatíve biztonságosnak számított.
A BlackLotus kártevő ráadásul az egyik legnehezebben észrevehető és eltávolítható fenyegetés, amely jelenleg is ismert. Az ESET jelentése szerint a kártevő képes átírni az UEFI-t és TPM-et úgy, hogy az újraindítások és a formázás sem segít a megszabadulásban. A kártevő egy olyan titkosítási módszert alkalmaz, amely lehetővé teszi számára, hogy az adatokat megőrizze, még akkor is, ha a tároló meghajtók teljesen üresnek látszanak.
Az ESET kutatói szerint a BlackLotus kártevő leginkább azokat az áldozatokat veszélyezteti, akik olyan érzékeny adatokat tárolnak a számítógépükön, amelyeket a támadók megpróbálnak megszerezni. Ilyen lehetnek például kormányzati, katonai vagy gazdasági szervezetek, illetve nagyvállalatok.
Ezt a kiskaput a fenyegetési szereplők kihasználhatják arra, hogy a javított loadereket sebezhető verziókra cseréljék le, és BlackLotus-t futtassanak a veszélyeztetett végpontokon.
A BlackLotushoz hasonló UEFI bootkitek teljes ellenőrzést biztosítanak az operációs rendszer indítási folyamata felett, ezáltal lehetővé teszik a biztonsági mechanizmusok megváltoztatását és további payloadok telepítését megnövelt jogosultságokkal. A BlackLotus nem firmware fenyegetés, hanem a bootolási folyamat korai szoftveres szakaszára koncentrál a perzisztencia elérése érdekében. Nincs bizonyíték arra vonatkozóan, hogy a kártevő Linux rendszerekre is kártékony lenne.
A Microsoft orvosolt egy második, BlackLotus által kihaszált Secure Boot bypass hibát (CVE-2023-24932, CVSS score: 6.7). A szervezetek számára az alábbi lépések elvégzését javasolják:
- Helyreállítási adathordozók frissítése
- Defenzív szoftverek konfigurálása az EFI indítópartíció módosításainak ellenőrzésére
- Az eszköz integritás és a rendszerindítási konfigurációnak a figyelemmel kísérése az EFI rendellenes változásai tekintetében
- Az UEFI Secure Boot testreszabása a régebbi loaderek blokkolására
- A Microsoft Windows Production CA 2011 tanúsítvány eltávolítása a kizárólag Linuxot indító eszközökről
A Microsoft fokozatos megközelítést alkalmaz a támadási vektor teljes lezárására. A javítások várhatóan 2024 első negyedévében lesznek széleskörben elérhetőek.