- Výskumníci spoločnosti ESET ako prví na svete zverejnili analýzu prvého UEFI bootkitu zaznamenaného v reálnych podmienkach, ktorý dokáže obísť kľúčovú bezpečnostnú funkciu UEFI Secure Boot.
- Tento UEFI bootkit nazvaný BlackLotus sa predáva na hackerských fórach za 5 000 dolárov najmenej od októbra 2022 a dokáže útočiť aj na plne aktualizovaný systém Windows 11 so zapnutou funkciou UEFI Secure Boot.
- Bootkit zneužíva viac ako rok starú zraniteľnosť (CVE-2022-21894) na obídenie UEFI Secure Boot a na zotrvanie v zariadení, v ktorom dokáže operovať ešte pred spustením operačného systému. Ide o prvé verejne známe zneužitie tejto zraniteľnosti v reálnych podmienkach.
- Táto zraniteľnosť bola zaplátaná v rámci Microsoft aktualizácie v januári 2022, no jej zneužitie je aj naďalej možné. BlackLotus dokáže vypnúť bezpečnostné mechanizmy operačného systému, ako napríklad BitLocker, HVCI a Windows Defender.
- Bootkit sa inštaluje jednoducho a zločinecké skupiny ho dokážu veľmi rýchlo šíriť.
- Niektoré inštalačné súbory BlackLotus, ktoré analyzoval ESET, nepokračujú v inštalácii, ak skompromitované zariadenie používa jazykové nastavenia typické pre Arménsko, Bielorusko, Kazachstan, Moldavsko, Rusko alebo Ukrajinu.
Výskumníci spoločnosti ESET ako prví na svete zverejnili analýzu UEFI bootkitu, ktorý dokáže obísť kľúčovú bezpečnostnú funkciu UEFI Secure Boot. Na základe funkcionality bootkitu a jeho vlastností ide podľa výskumníkov spoločnosti ESET o hrozbu známu ako BlackLotus. Tento UEFI bootkit sa predáva na hackerských fórach minimálne od októbra 2022 za 5 000 dolárov a dokáže zaútočiť aj na plne aktualizovaný operačný systém Windows 11 so zapnutou funkciou UEFI Secure Boot.
„Koncom roka 2022 zaznamenala naša telemetria HTTP downloader, ktorý sme s vysokou mierou istoty identifikovali ako súčasť malvéru BlackLotus. Vzorky nájdeného kódu nás doviedli k odhaleniu šiestich inštalačných súborov BlackLotus. To nám umožnilo preskúmať celý reťazec krokov vedúcich k jeho spusteniu a uvedomili sme si, že nemáme dočinenia s obyčajným malvérom,“ uvádza Martin Smolár, výskumník spoločnosti ESET, ktorý viedol analýzu bootkitu.
Bootkit zneužíva viac ako rok starú zraniteľnosť (CVE-2022-21894) na obídenie UEFI Secure Boot a na zotrvanie v zariadení, v ktorom dokáže operovať ešte pred spustením operačného systému. Ide o prvé verejne známe zneužitie tejto zraniteľnosti v reálnych podmienkach. Aj napriek tomu, že táto zraniteľnosť bola zaplátaná v rámci Microsoft aktualizácie v januári 2022, jej zneužitie je aj naďalej možné, keďže súvisiace moduly sú stále počítačom považované za dôveryhodné. Ich podpisy zatiaľ totiž neboli pridané do zoznamu zneplatnených podpisov, známeho ako UEFI revocation list. Tento problém zneužíva aj BlackLotus. Operačnému systému dodá legitímne, no zraniteľné komponenty, ktoré následne sám zneužije.
BlackLotus dokáže vypnúť bezpečnostné mechanizmy operačného systému ako BitLocker, HVCI a Windows Defender. Akonáhle je bootkit nainštalovaný, jeho hlavným cieľom je nasadiť ovládač do jadra operačného systému (ktorý okrem iného chráni bootkit pred odstránením) a HTTP downloader zodpovedný za komunikáciu s riadiacim serverom a dokáže spustiť ďalší škodlivý obsah. Zaujímavosťou je, že niektoré inštalačné súbory BlackLotus, ktoré analyzoval ESET, nepokračujú v inštalácii, ak skompromitované zariadenie používa jazykové nastavenia typické pre Arménsko, Bielorusko, Kazachstan, Moldavsko, Rusko alebo Ukrajinu.
BlackLotus je propagovaný a dostupný na hackerských fórach najmenej od októbra 2022: „Máme dôkaz, že bootkit je reálny a reklamy naňho nie sú len podvod,“ hovorí Martin Smolár. „Na základe malého počtu vzoriek bootkitu BlackLotus, ktoré sme získali či už z našej telemetrie alebo z verejných zdrojov, sa nazdávame, že ho ešte nezačalo využívať veľa útočníkov. Obávame sa však, že sa to môže rýchlo zmeniť, akonáhle sa bootkit dostane do rúk zločineckých skupín. Bootkit sa totiž ľahko inštaluje a takéto skupiny dokážu šíriť malvér pomocou svojich botnetov.“
V uplynulých rokoch boli odhalené mnohé kritické zraniteľnosti týkajúce sa zabezpečenia UEFI systémov. V dôsledku komplexnosti celých UEFI ekosystémov a súvisiacimi problémami s dodávateľským reťazcom zostali mnohé systémy zraniteľné aj dlho po tom, ako boli zraniteľnosti zaplátané.
UEFI bootkity predstavujú veľmi nebezpečnú hrozbu. Dokážu získať plnú kontrolu nad štartom operačného systému, vypnúť tak rôzne bezpečnostné mechanizmy a nasadiť svoj vlastný škodlivý obsah v režime jadra alebo v používateľskom režime v skorých štádiách bootovania. Tieto schopnosti UEFI bootkitom umožňujú operovať veľmi nenápadne a zároveň s veľkými právomocami. Doposiaľ ich bolo verejne odhalených a popísaných iba niekoľko. Keďže sa nachádzajú na ľahko dostupných diskových oddieloch FAT32, ich nenápadnosť môže zaostávať v porovnaní s úpravami firmvéru, akým bol napríklad LoJax, prvý UEFI firmvérový malvér zachytený v reálnych podmienkach odhalený spoločnosťou ESET v roku 2018. Na druhej strane však ako bootloader disponujú takmer rovnakými schopnosťami bez toho, aby museli prekonať viaceré vrstvy zabezpečenia, ktoré chránia firmvér.
„Najlepšou radou je samozrejme udržiavať váš systém aj jeho bezpečnostný softvér aktualizovaný. Zvýšite tak šancu, že hrozba bude zastavená hneď na začiatku, predtým ako dosiahne schopnosť pretrvania v zariadení a operovania ešte pred spustením operačného systému,“ uzatvára Martin Smolár.
Viac technických informácií nájdete v anglickom jazyku v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET research.