NSA, BlackLotus Kötü Amaçlı Yazılımı için Düzeltme Kılavuzu Yayınladı

Tamamen yamalı Windows sistemleri bile BlackLotus önyükleme setine karşı savunmasız kalabileceğinden, NSA hükümet ve özel ağların yöneticilerini “yanlış bir güvenlik duygusuna” sahip olma konusunda dikkatli olmaları konusunda uyarıyor.

Microsoft’a göre bir bootkit, “işletim sisteminin başlatılmasını kontrol etmek için bir cihazın sırasına göre mümkün olduğunca erken yüklenmek üzere tasarlanmış kötü amaçlı bir programdır”.

BlackLotus, Windows’ta bir saldırganın Windows sistemini başlatma sırasında koruyan güvenlik denetimlerini içeren Güvenli Önyüklemeyi atlamak için yararlanabileceği CVE-2022-21894 olarak adlandırılan “Baton Drop” önyükleme yükleyici kusurunu hedefler. NSA, riskin, bir bilgisayar korsanının “Baton Drop güvenlik açığından başarıyla yararlanabilmesi, Güvenli Önyüklemeyi atlaması ve cihazın güvenliğini aşması” olduğunu söyledi.

Microsoft, Ocak 2022’de ve yine bu yılın başlarında CVE-2022-21894 yaması için Windows güncellemeleri yayınladı ve ardından Mayıs ayında ek korumalar geldi. Microsoft, “Güvenli Önyükleme korumalarının etkinleştirildiği tüm Windows cihazları, hem şirket içi fiziksel cihazlar hem de bazı sanal makineler veya bulut tabanlı cihazlar bu sorundan etkileniyor” dedi. “Linux da bu sorundan etkileniyor” ve Linux dağıtım sağlayıcıları kendi kılavuzlarını ve azaltıcı önlemlerini yayınlıyorlar.

NSA, BlackLotus’a karşı kendilerini en iyi nasıl koruyacakları konusunda Windows kullanan kuruluşlar arasında “önemli kafa karışıklığına” atıfta bulunarak, bir BlackLotus azaltma kılavuzu yayınladı. Kılavuz, “Linux hedefleme varyantı gözlemlenmemiş” olsa da, kötü amaçlı yazılımın Linux sistemlerinden yararlanmak için güncellenebileceğini söylüyor.

NSA’nın platform güvenlik analisti Zachary Blum, BlackLotus enfeksiyonlarını engellemek için yamaların yerinde olmasını sağlamaktan daha fazlasını gerektiriyor.

“Sistemleri BlackLotus’a karşı korumak basit bir çözüm değil” dedi. “Yama uygulamak iyi bir ilk adımdır, ancak sisteminizin yapılandırmalarına ve kullanılan güvenlik yazılımına bağlı olarak eylemleri güçlendirmenizi de öneririz.”

Güvenlik uzmanları, Batı istihbarat teşkilatları tarafından yayınlanan güvenlik açığı uyarılarının, genellikle bir kusurun potansiyel olarak ulus-devlet düzeyindeki düşmanlar tarafından vahşi doğada aktif olarak kullanıldığının bir işareti olduğunu söylüyor.

BlackLotus Neden Hala Çalışıyor?

Güvenlik firması Eset, türünün şimdiye kadar bulunan ilk örneği olan BlackLotus bootkit kötü amaçlı yazılımını bu yılın başlarında keşfetti ve en az Ekim 2022’den beri bilgisayar korsanlığı forumlarında 5.000 ABD dolarına satıldığını bildirdi.

Kötü amaçlı yazılım, bir cihazın üretici yazılımını işletim sistemine bağlayan Birleşik Genişletilebilir Ürün Yazılımı Arayüzünü hedefler.

Kötü amaçlı yazılım olan Martin Smolár, “UEFI önyükleme takımları, işletim sistemi önyükleme işlemi üzerinde tam denetime sahip olan ve bu nedenle çeşitli işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilen ve kendi çekirdek modu veya kullanıcı modu yüklerini erken işletim sistemi başlatma aşamalarında konuşlandırabilen çok güçlü tehditlerdir” dedi. 1 Mart tarihli bir raporda Eset analisti. “Bu onların çok gizli ve yüksek ayrıcalıklarla çalışmasına izin veriyor.”

NSA’nın BlackLotus ile ilgili sorunu, kötü amaçlı yazılımın, Windows önyükleme yükleyicisinin yama uygulanmış sürümlerinin yerine yama yapılmamış sürümleri değiştirme yeteneği içermesidir. Bu yama uygulanmamış sürümler, Baton Drop güvenlik açığını içerir ve saldırganların bu güvenlik açığından yararlanmasına olanak tanır.

Saldırganlar bu yeteneğe sahiptir çünkü Microsoft önyükleyiciye yama uygularken eski sürümleri Windows’taki Güvenli Önyükleme Reddetme Listesi Veritabanına ekleyerek kara listeye almayı başaramamıştır. NSA’nın kılavuzuna göre “Güvenli Önyükleme DBX’i, yetkisiz önyükleme yükleyicilerinin yürütülmesini önler”. Sonuç olarak, “Baton Drop’a karşı savunmasız olan önyükleme yükleyicilerine Secure Boot tarafından hala güvenildiği için yöneticiler tehdidin tamamen ortadan kaldırıldığını düşünmemelidir.”

NSA tarafından önerilen hafifletmeler şunları içerir:

• Tüm Windows sistemlerini tamamen güncelleyin ve yamalayın.
• Windows 10’dan önceki Windows sürümlerini kullanmaktan kaçının.
• Kod Bütünlüğü Önyükleme İlkesi de dahil olmak üzere Mayıs ayında Microsoft tarafından Windows’a eklenen isteğe bağlı güvenlik denetimlerini etkinleştirin.
• Önyükleme bölümüne kod eklemek, bellek bütünlüğünü devre dışı bırakmak, BitLocker’ı devre dışı bırakmak veya bir cihazı yeniden başlatmak için planlanmamış girişimleri engellemek için uç nokta güvenlik araçlarını kullanın.
• Her bir cihazın Genişletilebilir Ürün Yazılımı Arabirimi – EFI – bütünlüğünü izlemek için uç nokta güvenlik araçlarını kullanın.

BlackLotus, Windows 10 ve 11’i hedeflemek için tasarlanırken, NSA “Windows’un daha eski, UEFI önyüklemeli sürümlerini hedefleyen varyantlar olabilir” diyor. Microsoft yalnızca Windows 8.1, 10 ve 11 için güvenlik düzeltmeleri yayınladı.

NSA, BlackLotus’un oluşturduğu riske rağmen, “hiç kimse son 5 yıl içinde oluşturulmuş bir uç noktada Güvenli Önyüklemeyi devre dışı bırakmamalıdır” dedi.

Microsoft, ayrıntılı dağıtım yönergelerinde, 9 Mayıs güvenlik güncellemelerinde yayınlanan isteğe bağlı korumaları etkinleştirmeden önce, “cihazlarınızın ve tüm önyüklenebilir ortamların güncellendiğini ve bu güvenlik güçlendirme değişikliğine hazır olduğunu doğrulamanız gerektiğini” söyledi. Bunu yapmamak, bu cihazları kurtarılamaz durumda bırakabilir.

Tehdidi gidermek için ek Windows güncellemeleri bekleyin. 11 Temmuz’da Microsoft, Code Integrity Boot ilkesi ve Secure Boot DBX izin verilmeyenler listesi için iptal dosyalarını dağıtmanın daha kolay ve otomatik bir yolunu sağlamak da dahil olmak üzere daha fazla yetenek sunmayı planlıyor. 1 Nisan 2024’e kadar – ve mümkünse daha önce – Microsoft, bu tür iptallerin devre dışı bırakılmasını imkansız hale getirecek güncellemeleri Windows’a göndermeyi planlıyor.