ABD Ulusal Güvenlik Teşkilatı (NSA), Perşembe günü kuruluşların Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) adlı bir önyükleme setinin bulaşmasını tespit etmesine ve önlemesine yardımcı olacak bir kılavuz yayınladı. SiyahLotus.
Bu amaçla ajans, “altyapı sahiplerinin, kullanıcı tarafından yürütülebilir ilkeleri sağlamlaştırarak ve önyükleme bölümünün bütünlüğünü izleyerek harekete geçmesini” öneriyor.
BlackLotus, ilk olarak Ekim 2022’de Kaspersky tarafından öne çıkarılan gelişmiş bir suç yazılımı çözümüdür. Windows Güvenli Önyükleme korumalarını atlayabilen bir UEFI önyükleme seti, kötü amaçlı yazılım örnekleri o zamandan beri vahşi doğada ortaya çıktı.
Bu, Güvenli Önyükleme DBX iptal listesine eklenmeyen savunmasız önyükleme yükleyicilerinde keşfedilen Baton Drop (CVE-2022-21894, CVSS puanı: 4.4) adlı bilinen bir Windows kusurundan yararlanılarak gerçekleştirilir. Güvenlik açığı Microsoft tarafından Ocak 2022’de giderildi.
Bu boşluk, tehdit aktörleri tarafından tamamen yamalı önyükleme yükleyicilerini savunmasız sürümlerle değiştirmek ve güvenliği ihlal edilmiş uç noktalarda BlackLotus’u çalıştırmak için kullanılabilir.
BlackLotus gibi UEFI önyükleme takımları, bir tehdit aktörüne işletim sistemi önyükleme prosedürü üzerinde tam kontrol sağlayarak güvenlik mekanizmalarına müdahale etmeyi ve yükseltilmiş ayrıcalıklara sahip ek yükler dağıtmayı mümkün kılar.
BlackLotus’un bir ürün yazılımı tehdidi olmadığını ve bunun yerine kalıcılık ve kaçınma elde etmek için önyükleme işleminin en erken yazılım aşamasına odaklandığını belirtmekte fayda var. Kötü amaçlı yazılımın Linux sistemlerini hedef aldığına dair bir kanıt yok.
“UEFI bootkit’leri, bellenim implantlarına kıyasla gizlilik konusunda kaybedebilir […] ESET araştırmacısı Martin Smolár, Mart 2023’te BlackLotus’ta yaptığı bir analizde, “bootkit’ler kolayca erişilebilen bir FAT32 disk bölümünde yer aldığından,” dedi.
“Bununla birlikte, bir önyükleyici olarak çalışmak, onlara, BWE, BLE ve PRx koruma bitleri gibi çok düzeyli SPI flaş savunmalarının veya donanım tarafından sağlanan korumaların (Intel Boot gibi) üstesinden gelmek zorunda kalmadan, onlara ürün yazılımı implantlarıyla neredeyse aynı yetenekleri sağlar Koruma).
BlackLotus tarafından istismar edilen ikinci bir Güvenli Önyükleme atlama kusurunu (CVE-2023-24932, CVSS puanı: 6.7) ele alan Microsoft’un Mayıs 2023 Salı Yaması güncellemelerini uygulamanın yanı sıra, kuruluşlara aşağıdaki azaltma adımlarını gerçekleştirmeleri önerilir –
- Kurtarma ortamını güncelleyin
- EFI önyükleme bölümündeki değişiklikleri incelemek için savunma yazılımını yapılandırın
- EFI önyükleme bölümündeki anormal değişiklikler için cihaz bütünlüğü ölçümlerini ve önyükleme yapılandırmasını izleyin
- Daha eski, imzalı Windows önyükleme yükleyicilerini engellemek için UEFI Güvenli Önyüklemeyi özelleştirin
- Özel olarak Linux’u önyükleyen cihazlarda Microsoft Windows Production CA 2011 sertifikasını kaldırın
Microsoft, saldırı vektörünü tamamen kapatmak için aşamalı bir yaklaşım benimsiyor. Düzeltmelerin genel olarak 2024’ün ilk çeyreğinde kullanıma sunulması bekleniyor.