Специалисти очакват разпространението на BlackLotus в престъпните среди
Към средата на предходната годината незнайна страна разгласява в GitHub експлойт код за Baton Drop или CVE-2022-21894 – сериозна накърнимост в UEFI Secure Boot, предпазен механизъм на процеса на пускане в доста от модерните Windows системи, обезпечаващ в допълнение сигурността. През годините е имало няколко известни офанзиви за превъзмогване на отбраните на UEFI с изменчив триумф. Но експлойтът за CVE-2022-21894 трансформира разпоредбите на играта и основаването на работещ „ бууткит “ (bootkit) – вид зловредни стратегии, атакуващи процеса по пускане на системата – е било въпрос на време. През октомври предходната година компанията за киберсигурност ESET се натъква на публикация в хакерски конгрес точно за това, а през март тази година незнайна страна стартира продажбата на BlackLotus, зловредна стратегия, построена на основата на Baton Drop. И въпреки Microsoft да запушва CVE-2022-21894 с кръпка, следващ разбор показва, че актуализацията прави експлоатирането по-трудно, а не невероятно. С цена от едвам $5000 и без работещо решение против него, BlackLotus и зловредите на негова основа ще са закани, които занапред ще получават разпространяване, предизвестяват експерти.
Представен преди повече от 10 години, Unified Extensible Firmware Interface (UEFI) Secure Boot е технология, която би трябвало да подсигурява сигурността на актуалните Windows системи, обезпечаваща старта на само доверени процеси. Технологията работи на най-ниско равнище и нейната най-силна страна се явява и нейната най-голяма уязвимост. Функционална зловредна стратегия, успяваща да се намеси в този развой обезпечава цялостния надзор на атакуващата страна и би работила и след цялостна преинсталация, а общоприетия съвременен предпазен програмен продукт в никакъв случай няма да я засече поради полето ѝ на деяние. И BlackLotus се явява първия регистриран бууткит, работещ на изцяло обновена система. И евентуално няма да е последния. Това счита Робърт Лемос от Dark Reading в репортаж от края на предходната седмица, отдаден на опасността.
„ Очакваме да забележим повече незаконни групи да включват в арсенала си стратегии, преодоляващи процеса по предпазено пускане. Целта на всеки киберпрестъпник е да си обезпечи трайно наличие в системата, а с устойчивостта на UEFI, те ще могат да оперират надалеч по-скрито от външен взор, в сравнение с всеки различен тип офанзива, осигуряваща им непрекъснато наличие на равнище операционна система “, написа в разбор на обстановката Мартин Смолар от ESET. Ще се откри ли „ лекарство “ против BlackLotus? Според Eclypsium, друга компания от защитния бранш – не. Причината за това е, че решението тук може да се окаже източник на проблеми за милиони устройства.
„ За да преодолее опасността от уязвим управител за пускане, Microsoft ще би трябвало да изтегли от обращение криптографския хеш. Само че това ще попречи на някои системи (самостартираща се медия, по-стари копия на системата) от зареждане по дизайн със Secure Boot и ще съставлява действен риск за милиони устройства “, пишат в разбор компанията. Дори и мениджърът да бъде изтеглен от обращение и Secure Boot деактивиран, системата може изобщо да не започва, защото мениджърът извършва лични сигнатурни инспекции “. И въпреки засечените офанзиви с BlackLotus към момента да са малцина, това може доста скоро да се промени, считат ESET.
„ Притеснени сме, че нещата ще се трансформират бързо, в случай че този бууткит попадне в ръцете на престъпни групи, вземайки поради лесното му снабдяване към системите и качествата на сходен жанр групи за разпространяване на злотворен код посредством мрежите им от инфектирани компютри “, написа в предходен репортаж по отношение на BlackLotus Смолар.
