ABD Ulusal Güvenlik Teşkilatı (NSA), bugün BlackLotus UEFI bootkit kötü amaçlı yazılım saldırılarına karşı nasıl korunulacağına ilişkin kılavuz yayınladı.
BlackLotus, tespit edilmekten kaçabilen, kaldırma çabalarına direnebilen ve Defender, HVCI ve BitLocker gibi birden çok Windows güvenlik özelliğini etkisiz hale getirebilen kötü amaçlı yazılım olarak pazarlanan, Ekim 2022’den beri bilgisayar korsanlığı forumlarında dolaşıyor.
Mayıs ayında Microsoft, CVE-2022-21894 için yayınlanan yamaları atlamak için kullanılan Güvenli Önyükleme sıfır günlük güvenlik açığını (CVE-2023-24932) gidermek için güvenlik güncellemeleri yayınladı; Güvenli Önyükleme hatası, başlangıçta geçen yıl BlackLotus saldırılarında kötüye kullanıldı.
Ancak, CVE-2023-24932 düzeltmesi varsayılan olarak devre dışıdır ve BlackLotus’u dağıtmak için kullanılan saldırı vektörünü kaldırmaz.
Windows cihazlarının güvenliğini sağlamak için yöneticilerin “önyüklenebilir medyayı güncellemek ve bu güncellemeyi etkinleştirmeden önce iptalleri uygulamak” için birden fazla adım gerektiren manuel bir prosedürden geçmesi gerekir.
NSA, “BlackLotus tamamen güncellenmiş Windows uç noktalarında, Güvenli Önyükleme ile özelleştirilmiş cihazlarda veya Linux uç noktalarında çok durdurulabilir. Microsoft yamalar yayınladı ve BlackLotus ve Baton Drop’a karşı azaltma önlemlerini sağlamlaştırmaya devam ediyor” dedi.
“Linux topluluğu, yalnızca Linux’u önyükleyen cihazlarda Microsoft Windows Production CA 2011 sertifikasını kaldırabilir. Bugün mevcut olan hafifletme seçenekleri, gelecekte satıcı Güvenli Önyükleme sertifikalarında yapılan değişikliklerle güçlendirilecektir (bazı sertifikaların süresi 2026’dan itibaren dolacaktır).
Azaltma tavsiyesi
NSA’nın Platform Güvenlik Analisti Zachary Blum, bugün sistem yöneticilerine ve ağ savunucularına bu güvenlik açığına karşı yama uygulanan sistemlerde güçlendirme eylemleri uygulamalarını tavsiye etti.
NSA, “NSA, DoD ve diğer ağlardaki sistem yöneticilerinin harekete geçmesini tavsiye ediyor. BlackLotus bir ürün yazılımı tehdidi değil, bunun yerine önyüklemenin en erken yazılım aşamasını hedefliyor” dedi.
“Savunma yazılım çözümleri, BlackLotus yükünün yüklenmesini veya yürütülmesini ve yerleştirilmesini başlatan yeniden başlatma olayını algılayacak ve önleyecek şekilde yapılandırılabilir. NSA, şu anda yayınlanan yamaların bazı altyapılar için yanlış bir güvenlik hissi sağlayabileceğine inanıyor.”
Bugünkü danışma belgesinde, ABD istihbarat teşkilatı ek önlemler olarak aşağıdaki önlemleri önerdi:
- En son güvenlik güncellemelerini uygulayın, kurtarma medyasını güncelleyin ve isteğe bağlı hafifletmeyi etkinleştirin
- Uç nokta güvenlik yazılımını BlackLotus kötü amaçlı yazılım yükleme girişimlerini engelleyecek şekilde yapılandırarak savunma politikalarını güçlendirin
- Cihaz bütünlüğü ölçümlerini ve önyükleme yapılandırmasını izlemek için uç nokta güvenlik ürünlerini ve sabit yazılım izleme araçlarını kullanın
- Daha eski (Ocak 2022 öncesi), imzalı Windows önyükleme yükleyicilerini engellemek için UEFI Güvenli Önyüklemeyi özelleştirin
BlackLotus, Windows 10 ve 11’i hedefleyen saldırılarda, Güvenli Önyükleme korumasını atlamaya ve bir dizi tetiklemeye yardımcı olan eski önyükleme yükleyicilerinde (diğer adıyla önyükleme yöneticileri) bulunan bir güvenlik açığından (Baton Drop olarak anılır ve CVE-2022-21894 olarak izlenir) yararlanmak için kullanılmıştır. sistem güvenliğini tehlikeye atmak için tasarlanmış kötü amaçlı eylemler.
Saldırganlar, CVE-2022-21894’ten yararlanarak Güvenli Önyükleme ilkesini kaldırır ve uygulanmasını engeller (bu güvenlik açığından etkilenen önyükleyiciler henüz Güvenli Önyükleme DBX iptal listesine dahil edilmemiştir).
NSA, “Ancak, Güvenli Önyükleme Reddetme Listesi Veritabanı (DBX) aracılığıyla yama uygulanmamış önyükleyicilere olan güveni ortadan kaldırmak için yamalar yayınlanmadı. Yöneticiler, Baton Drop’a karşı savunmasız olan önyükleyicilere Güvenli Önyükleme tarafından hala güvenildiği için tehdidin tamamen ortadan kaldırıldığını düşünmemelidir.” söz konusu.
Sonuç olarak, saldırganlar tam yama uygulanmış önyükleyicileri güvenlik açığı bulunan sürümlerle değiştirerek, kötü amaçlı yazılımı güvenliği ihlal edilmiş cihazlara yükleyip bu cihazlarda yürütmelerine izin verebilir.
BlackLotus yükleme işlemi sırasında, Windows önyükleme yükleyicisinin eski bir Genişletilebilir Ürün Yazılımı Arabirimi (EFI) ikili dosyası, önyükleme bölümüne dağıtılır. Ardından, kötü amaçlı yazılımı başlatmak ve yerleştirmek için cihaz yeniden başlatılmadan hemen önce BitLocker ve Bellek Bütünlüğü korumaları devre dışı bırakılır.
Blum, “Sistemleri BlackLotus’a karşı korumak basit bir düzeltme değildir. Yama uygulamak iyi bir ilk adımdır, ancak sisteminizin yapılandırmalarına ve kullanılan güvenlik yazılımına bağlı olarak güçlendirme eylemleri de öneririz.” dedi.