Kötü niyetli siber aktörler, Güvenli Önyükleme korumasını atlamak ve BlackLotus kötü amaçlı yazılımını çalıştırmak için Microsoft Windows’un güvenli başlatma işlemindeki bilinen bir kusurdan yararlanabilir.
BlackLotus, cihazın Güvenli Önyükleme başlatma prosedürü tarafından yapılan güvenlik önlemlerinin ötesine geçmek için CVE-2022-21894 olarak izlenen “Baton Drop” adlı bilinen bir kusuru kullanır.
.png
)
BlackLotus, Ekim 2022’den beri bilgisayar korsanı forumlarında boy gösteriyor. Algılamayı önleyebilen, kaldırma girişimlerinden geçebilen ve Defender, HVCI ve BitLocker dahil olmak üzere çeşitli Windows güvenlik mekanizmalarını devre dışı bırakabilen kötü amaçlı yazılım olarak ilan edilir.
Kötü amaçlı yazılım, Güvenli Önyükleme Reddetme Listesi Veritabanına (DBX) eklenmemiş zayıf önyükleme yükleyicilerinden yararlanarak Güvenli Önyüklemeye saldırır.
CVE-2023-24932 yaması varsayılan olarak devre dışı olduğundan, BlackLotus’u yüklemek için kullanılan saldırı vektörü hala mevcuttur.
Yöneticiler, bu güncellemenin Windows aygıtlarını koruma altına almasına izin vermeden önce, önyüklenebilir medyayı güncellemek ve iptalleri uygulamak için birçok adımı içeren manuel bir prosedür gerçekleştirmelidir.
“BlackLotus, tamamen güncellenmiş Windows uç noktalarında, Güvenli Önyükleme için özelleştirilmiş cihazlarda veya Linux uç noktalarında çok durdurulabilir. Microsoft, yamalar yayınladı ve BlackLotus ve Baton Drop’a karşı azaltma önlemlerini güçlendirmeye devam ediyor” dedi.
“Linux topluluğu, yalnızca Linux’u başlatan cihazlarda Microsoft Windows Production CA 2011 sertifikasını kaldırabilir.
Bugün mevcut olan azaltma seçenekleri, gelecekte satıcı Güvenli Önyükleme sertifikalarında yapılan değişikliklerle güçlendirilecektir (bazı sertifikaların süresi 2026’dan itibaren sona eriyor).
BlackLotus Kötü Amaçlı Yazılımlarıyla Mücadele Yönergeleri
Sistem yöneticilerine ve ağ güvenliği uzmanlarına, bu güvenlik açığına karşı yama uygulanan sistemlerde şimdi sıkılaştırma önlemleri almaları önerildi.
BlackLotus yükünün yüklenmesi veya yürütülmesini ve yerleştirilmesini başlatan yeniden başlatma olayı, savunma yazılımı çözümleri tarafından algılanabilir ve durdurulabilir.
NSA’ya göre, belirli altyapılar şu anda mevcut olan güncellemelerden yanlış bir güvenlik hissi alabilir.
“NSA, Savunma Bakanlığı ve diğer ağlardaki sistem yöneticilerinin harekete geçmesini tavsiye ediyor. NSA, BlackLotus’un bir ürün yazılımı tehdidi olmadığını, bunun yerine önyüklemenin en erken yazılım aşamasını hedef aldığını bildiriyor”.
- Kurtarma medyasını güncelleyin, en son güvenlik güncellemelerini yükleyin ve isteğe bağlı azaltmayı açın.
- BlackLotus kötü amaçlı yazılımını yükleme çabalarını engellemek için uç nokta güvenliği ayarlayarak savunma politikalarını iyileştirin.
- Cihaz bütünlük önlemlerini ve önyükleme ayarlarını takip etmek için uç nokta güvenlik ürünlerini ve üretici yazılımı izleme araçlarını kullanın.
- Daha eski (Ocak 2022 öncesi), imzalı Windows önyükleme yükleyicilerini engellemek için UEFI Güvenli Önyüklemeyi özelleştirin.
Windows 10 ve 11’e Yönelik Saldırılar
BlackLotus, Windows 10 ve 11’e yönelik saldırılarda, kullanıcıların güvenli bir şekilde dolaşmasını sağlayan eski önyükleme yükleyicilerinde (önyükleme yöneticileri olarak da bilinir) bulunan bir güvenlik açığından (Baton Drop olarak bilinir ve CVE-2022-21894 olarak izlenir) yararlanmak için kullanılmıştır. Güvenliği önyükleyin ve sistem güvenliğini tehlikeye atmayı amaçlayan bir kötü amaçlı işlemler zinciri başlatın.
Bu güvenlik açığından etkilenen önyükleme yükleyicileri henüz Güvenli Önyükleme DBX iptal listesine eklenmemiş olup, saldırganların Güvenli Önyükleme ilkesini kaldırmasına ve uygulanmasını engellemesine olanak tanır.
“Ancak, Güvenli Önyükleme Reddetme Listesi Veritabanı (DBX) aracılığıyla yama uygulanmamış önyükleme yükleyicilerine olan güveni ortadan kaldırmak için yamalar yayınlanmadı. NSA, Baton Drop’a karşı savunmasız olan önyükleme yükleyicilerine Secure Boot tarafından hala güvenildiğinden, yöneticiler tehdidin tamamen ortadan kaldırıldığını düşünmemeli” dedi.
Windows önyükleme yükleyicisinin eski bir Genişletilebilir Ürün Yazılımı Arabirimi (EFI) ikili dosyası, kötü amaçlı yazılımı güvenliği ihlal edilmiş cihazlara yüklemek ve çalıştırmak için önyükleme bölümüne dağıtılır.
Ardından, kötü amaçlı yazılımı başlatmak ve yerleştirmek için cihaz yeniden başlatılmadan hemen önce BitLocker ve Bellek Bütünlüğü korumaları kapatılır.
Sonuç olarak, saldırganlar tamamen yamalı önyükleyicileri savunmasız sürümlerle değiştirebilir. BlackLotus’a karşı sistemleri savunmak kolay değildir.
Yama uygulamak mükemmel bir ilk adımdır; ancak, NSA’nın Platform Güvenlik Analisti Zachary Blum, sisteminizin kurulumuna ve kullanılan güvenlik yazılımına bağlı olarak güçlendirme faaliyetleri önerir.
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenli Hale Getirin – Ücretsiz indirin