.
O BlackLotus, o malware capaz de burlar as proteções do Secure Boot e comprometer os computadores com Windows, atraiu a ira da NSA, que publicou hoje um guia para ajudar as organizações a detectar e prevenir infecções do UEFI bootkit.
O principal pesquisador de segurança da Kaspersky, Sergey Lozhkin cronometrado BlackLotus sendo vendido em mercados de crimes cibernéticos por cerca de US $ 5.000 a unidade em outubro.
Então, em uma pesquisa publicada em março, o analista de malware da ESET, Martin Smolár, confirmou o mito de um bootkit selvagem contornando o Secure Boot “agora é uma realidade”, ao contrário de ameaças hipotéticas levantadas por alguns especialistas e a usual quantidade de bootkits falsos que os criminosos tentaram induzir outros criminosos a comprar.
Nenhuma variante do malware direcionada ao Linux foi observada; O BlackLotus é estritamente nobre em máquinas Microsoft Windows.
O Secure Boot deve impedir que os dispositivos executem software não autorizado. Mas ao infectar o firmware de um computador – seu software UEFI de baixo nível – o BlackLotus carrega antes de qualquer outra coisa no processo de inicialização, incluindo o sistema operacional e quaisquer ferramentas de segurança que possam pará-lo.
Ele faz isso explorando uma falha de segurança do carregador de inicialização do Windows: CVE-2022-21894, também conhecido como Baton Drop. A Microsoft lançou um patch para corrigir esse erro em janeiro do ano passado, mas o BlackLotus abusou de outro buraco, CVE-2023-24932, para derrotar o patch anterior.
Enquanto Redmond fixo CVE-2023-24932 em maio deste ano, “patches não foram emitidos para revogar a confiança em carregadores de inicialização não corrigidos por meio do banco de dados Secure Boot Deny List (DBX)”, de acordo com o guia da NSA para destruir o BlackLotus [PDF].
“Os administradores não devem considerar a ameaça totalmente corrigida, pois os gerenciadores de inicialização vulneráveis ao Baton Drop ainda são confiáveis pelo Secure Boot”, continua o guia, acrescentando que os patches “podem fornecer uma falsa sensação de segurança para algumas infraestruturas”.
Para ser claro: ninguém está dizendo para não corrigir, e as organizações devem implementar as correções de 2022 e março de 2023.
Mas não presuma que a ameaça acabou só porque você tapou os buracos. Embora “o patch seja um bom primeiro passo”, de acordo com O analista de segurança de plataforma da NSA, Zachary Blum – literalmente, é a primeira “recomendação de mitigação” no relatório BlackLotus – a agência de espionagem do governo dos EUA também recomenda que as organizações tomem medidas adicionais para se proteger.
Além disso, é importante observar que, embora o Windows 10 e o 11 tenham atualizações de segurança aplicáveis e implantações de mitigação contínuas para o BlackLotus, elas não estão disponíveis para versões mais antigas. Portanto, se você estiver usando um desses, é uma boa ideia migrar para uma versão compatível do Windows. Ou outro sistema operacional.
Depois de instalar os dois patches de segurança e habilitar mitigações opcionais, que incluem uma política de inicialização de integridade de código, as organizações devem fortalecer suas políticas defensivas. Especificamente, a NSA sugere que as organizações usem ferramentas de monitoramento de endpoint e firmware para procurar alterações na partição de inicialização EFI, que, desde que sejam alterações legítimas, não devem ser frequentes. Em seguida, bloqueie todas as alterações fora de uma atualização agendada.
“Se forem detectadas alterações inesperadas na partição de inicialização EFI, impeça a reinicialização do dispositivo”, diz o guia.
E, finalmente, a NSA sugere que os administradores personalizem o UEFI Secure Boot – mas isso é recomendado apenas para “infraestruturas administradas e expostas por especialistas” devido à eficácia limitada e de longo prazo.
Além disso, esta etapa possui instruções diferentes para infraestruturas Windows e Linux.
Para administradores do Windows, siga este conselho: atualize o Secure Boot com hashes de lista de negação DBX, o que impedirá a execução de carregadores de inicialização mais antigos que são vulneráveis a exploits. O guia fornece uma lista de hashes DBX – embora seja seguro apostar que os desenvolvedores do BlackLotus alterarão o malware de acordo para evitar a detecção. Portanto, esta lista pode ficar obsoleta muito em breve.
Além disso, há um Repositório GitHub que inclui scripts e guias úteis para personalização.
Enquanto isso, os administradores do Linux “podem renunciar à adição de hashes DBX em favor da remoção do certificado Microsoft Windows Production CA 2011 do banco de dados do Secure Boot”.
Isso, de acordo com a NSA, nega a necessidade de adicionar entradas DBX relacionadas a BlackLotus e Baton Drop.
No entanto, as distribuições do Linux ainda precisam do certificado Microsoft UEFI Third Party Marketplace CA 2011 para utilizar o Secure Boot.
Achamos que vale a pena conferir o conselho acima, se não para impedir as infecções do BlackLotus, mas também para evitar que malwares de bootkit semelhantes invadam sua propriedade de TI no futuro. ®
.
