Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Odkryto prawdopodobnie pierwszy, aktywny w Internecie UEFI bootkit, potrafiący omijać mechanizm UEFI Secure Boot: działa na w pełni załatanych Windowsach.
Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware:
However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to overcome the multilevel SPI flash defenses, such as the BWE, BLE, and PRx protection bits, or the protections provided by hardware (like Intel Boot Guard).
I w zasadzie to jest głównym „atutem” tego złośliwego oprogramowania – znacznie utrudnione wykrycie, możliwość zignorowania wielu mechanizmów ochronnych OS oraz (oczywiście) działanie z bardzo wysokimi uprawnieniami.
Malware wykorzystuje podatność CVE-2022-21894, jeśli wczytacie się w szczegóły to jest ona… załatana. Ale jak się okazuje, mimo microsoftowej łatki udaje się ją wykorzystać – również w całkowicie zaktualizowanych systemach:
Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible as the affected, validly signed binaries have still not been added to the UEFI revocation list. BlackLotus takes advantage of this, bringing its own copies of legitimate – but vulnerable – binaries to the system in order to exploit the vulnerability
Co jeszcze? Oczywiście malware pracuje z bardzo wysokimi uprawnieniami (jądro OS), dzięki czemu ma między innymi możliwość wyłączenia Bitlockera, Windows Defendera czy mechanizmu HCVI.
Ze złych wieści – malware sprzedawany jest od jakiegoś czasu na czarnym rynku, z dobrych – do pierwszego uruchomienia wymaga uprawnień administratora Windows.
~ms
Pierwszy ? Serio ? Chyba wcale nie pierwszy
Tytuł rzeczywiście niejasny. Ale już poszła aktualizacja -> Odkryto prawdopodobnie pierwszy, aktywny w Internecie UEFI bootkit, potrafiący omijać mechanizm UEFI Secure Boot: działa na w pełni załatanych Windowsach.
i komu przeszkadzal ten niebezpieczny i archaiczny BIOS?
UEFI powstał tylko po to, żeby zablokować ekspansję linuxów, od poczatku g@wno dawał pod wzgledem bezpieczeństwa.
I dlatego UEFI nigdy nie powinno powstać, zwykły BIOS stykał, wystarczyło było dodać obsługę szyfrowania MBR żeby bez poprawnego klucza nie dało się uruchomić ani nadpisać MBR i by było cacy.
Czyli jak zwykle; trzeba czytać co się klika i nic nie grozi. Skoro do pierwszego uruchomienia wymaga uprawnień administratora Windows, to infekcja wynika z potwierdzenia okienka UAC.
A z kolejnych złych wieści: uprawnienia administratora względnie łatwo uzyskać jak ktoś ma wprawę. Jak ominąłeś UEFI Secure Boot to uprawnienia administratora to jest jak pierdnąć
Właśnie PO TO, żeby mógł minąć UEFI Secure potrzebuje NAJPIERW admina, i sam tego nie potrafi, więc… nie siej dezinfo
A ty czytaj ze zrozumieniemm. On napisał że jak potrafisz ominąć secure boot to zastosowanie jakiegoś exploita do eskalacji uprawnień z usera do admina to nie jest jakoś trudne. Nie napisał że dzięki wgranemu exploitowi secure boot możesz dostać admina.
Wystarczy, że się podczepią pod instalki różnych programów i uprawnienia administratora będą mieli.
Większość ludzi domyślnie lata na koncie admina
Wcześniej działaj obecnie działa bez żadnego problemu. Bardzo groźne gówienko. Zero ochrony….
Domyślne włączenie tej technologii, przez producentów, na których wpłynął ms miało na celu ochronę ludzi przed malware. Rozumiem, że mogło to zostać uznane za niedopuszczalne, jeśli nie było komunikatu ze strony uefi „secure boot blokuje rozruch z urządzenia XY, podpis niezgodny lub jego brak. Dowiedz się czym jest bootkit przed wyłączeniem tej funkcji” i kiedy przy każdej instalacji dystrybucji Linux trzeba było ręcznie wprowadzać klucze do uefi, ponieważ nie było jeszcze paczki shim podpisanej przez ms.
(zakładam, że ktoś nie jest na tyle bezmyślny, aby wyłączyć ten feature)
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/uefi-secure-boot-create-three-key-pairs.html
Uefi, to System nad Bios(niewidoczny pr kom). SBoot, to jednorazowa czynność i przeszedł dalej. Więc gdzie jest bezpieczeństwo? Wprowadzono niebezpieczny Uefi, by wyeliminować masę linuxów i innych systemów, którym mija termin ważności. NIe dało się marketingiem, to zrobiono to programowo.