ABD Ulusal Güvenlik Ajansı (NSA), Windows 10 ve 11 makinelerini BlackLotus bootkit kötü amaçlı yazılımından korumak için sistem yöneticilerini yama uygulamalarının ötesine geçmeye çağırıyor.
BlackLotus, geçen sonbaharda Dark Web’de 5.000$’a satıldığı görüldüğünde sahneye çıktı. Microsoft’un Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) Güvenli Önyükleme korumalarını başarıyla atlayan ilk vahşi kötü amaçlı yazılım olma şüpheli ayrıcalığına sahiptir.
UEFI, önyükleme yordamından sorumlu aygıt yazılımıdır, dolayısıyla işletim sistemi çekirdeğinden ve diğer yazılımlardan önce yüklenir. BlackLotus – bir yazılım, bir sabit yazılım tehdidi değil, not edilmelidir – UEFI Güvenli Önyükleme işlevindeki iki güvenlik açığından yararlanarak UEFI tarafından başlatılan yazılım önyükleme işleminin en erken aşamasına girer: CVE-2022-21894, diğer adıyla Baton Düşme, CVSS puanı 4.4; ve CVE-2023-24932, CVSS puanı 6.7. Bunlar, Microsoft tarafından sırasıyla Ocak 2022 ve Mayıs 2023’te yamalandı.
Ancak ülkenin en iyi teknoloji istihbarat bölümü, mevcut Windows 10 ve Windows 11 yamalarını uygulamanın yalnızca “iyi bir ilk adım” olduğu konusunda uyardı.
NSA tarafından bu hafta yayınlanan bir BlackLotus hafifletme kılavuzuna (PDF) göre, “Güvenli Önyükleme Reddetme Listesi Veritabanı (DBX) aracılığıyla yama uygulanmamış önyükleme yükleyicilerine olan güveni iptal etmek için yamalar yayınlanmadı.” “Yöneticiler, Baton Drop’a karşı savunmasız olan önyükleme yükleyicilerine Secure Boot tarafından hala güvenildiği için tehdidin tamamen ortadan kaldırıldığını düşünmemelidir.”
Bu, kötü aktörlerin güvenliği ihlal edilmiş uç noktalarda BlackLotus’u çalıştırmak için tamamen yama uygulanmış önyükleme yükleyicilerini meşru ancak savunmasız sürümlerle değiştirebileceği anlamına gelir. Bu, Microsoft’un 2024’ün başlarında piyasaya sürülmesi planlanan daha kapsamlı bir düzeltmeyle ele aldığı bir sorundur, ancak o zamana kadar NSA, altyapı sahiplerine sistemlerini sağlamlaştırmak için kullanıcı çalıştırılabilir ilkelerini sıkılaştırmak ve bütünlüğünü izlemek gibi ek adımlar atmalarını önerir. önyükleme bölümü. İsteğe bağlı bir gelişmiş azaltma, tüm Windows uç noktalarına DBX kayıtları ekleyerek Güvenli Önyükleme ilkesini özelleştirmektir.
NSA platform güvenlik analisti Zachary Blum, danışma belgesinde “Sistemleri BlackLotus’a karşı korumak basit bir çözüm değil” dedi.
Viaakoo Labs’ın başkan yardımcısı John Gallagher, gerçekten de, danışma belgesi kapsamlı sertleştirme tavsiyeleri sunuyor, ancak NSA’nın rehberliğini tam olarak uygulamanın başlı başına bir süreç olduğunu belirtiyor.
“NSA’nın kılavuzunun manuel niteliği göz önüne alındığında, birçok kuruluş bu güvenlik açığını tamamen gidermek için gereken kaynaklara sahip olmadığını görecektir. Microsoft daha eksiksiz bir çözüm sağlayana kadar ağ erişim denetimi ve trafik analizinin kullanımı gibi ek önlemler de kullanılmalıdır. düzelt” diyor.
BlackLotus, Türünün İlk Örneği Bootkit
BlackLotus gibi kötü amaçlı yazılımların çalıştırılması, siber saldırganlara işletim sistemi yeniden yüklendikten ve sabit sürücü değiştirildikten sonra bile kalıcılığın sağlanması dahil olmak üzere birçok önemli avantaj sunar. Kötü kod, güvenlik yazılımından önce çekirdek modunda yürütüldüğünden, BitLocker ve Windows Defender gibi standart savunmalar tarafından algılanamaz (ve gerçekten de onları tamamen kapatabilir). Ayrıca, makinedeki diğer tüm programları denetleyebilir ve bozabilir ve kök ayrıcalıklarıyla yürütülecek ek gizli kötü amaçlı yazılım yükleyebilir.
Gallagher, “NSA’nın rehberliğinin gösterdiği gibi, UEFI güvenlik açıklarının hafifletilmesi ve düzeltilmesi özellikle zordur çünkü bunlar yazılım ve donanım etkileşimlerinin en erken aşamasındadır” diyor. “NSA’nın sağladığı rehberlik, önyükleme düzeyindeki güvenlik açıklarına dikkat edilmesi ve bunları ele almak için bir yöntem bulunması gerektiğini hatırlatması açısından kritik derecede önemlidir.”
Kulağa oldukça korkunç geliyor – birçok sistem yöneticisinin hemfikir olduğu bir değerlendirme. Ancak NSA’nın belirttiği gibi, çoğu güvenlik ekibinin önyükleme setinin oluşturduğu tehlikeyle nasıl mücadele edileceği konusunda kafası karışık.
NSA kılavuzuna göre, “Bazı kuruluşlar tehdidi tanımlamak için ‘durdurulamaz’, ‘öldürülemez’ ve ‘yama yapılamaz’ gibi terimler kullanıyor. “Diğer kuruluşlar, Microsoft’un Windows’un desteklenen sürümleri için Ocak 2022’de ve 2023’ün başlarında yayımladığı yamalar nedeniyle herhangi bir tehdit olmadığına inanıyor. Risk, her iki uç arasında bir yerde bulunuyor.”
NSA, kılavuzu neden şimdi yayınladığına dair bir açıklama yapmadı – yani, son kitlesel sömürü çabaları veya vahşi olaylar hakkında bilgi yayınlamadı. Ancak Netenrich’in başlıca tehdit avcısı John Bambenek, NSA’nın verdiği tüm uyarıların BlackLotus’un dikkat edilmesi gereken bir tehdit olduğunu göstermesi gerektiğini belirtiyor.
“NSA ne zaman bir araç veya kılavuz yayınlasa, en önemli bilgi onların söylemedikleridir” diyor. “Bu aracı geliştirmek, gizliliğini kaldırmak ve serbest bırakmak için zaman ve çaba harcadılar. Nedenini asla söylemeyecekler, ancak neden, genellikle hiçbir şey söylemeden işleyişlerinden önemli ölçüde sapmaya değerdi.”