-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Odkryto prawdopodobnie pierwszy, aktywny w Internecie UEFI bootkit, potrafiący omijać mechanizm UEFI Secure Boot: działa na w pełni załatanych Windowsach.

02 marca 2023, 11:13 | W biegu | komentarzy 14

Eset przedstawił analizę malware BlackLotus. To złośliwe oprogramowanie potrafi odpalić się we wczesnej fazie bootowania systemu, co z kolei umożliwia na ominięcie wielu standardowych metod ochrony oferowanych przez system operacyjny / hardware:

However, running as a bootloader gives them almost the same capabilities as firmware implants, but without having to overcome the multilevel SPI flash defenses, such as the BWE, BLE, and PRx protection bits, or the protections provided by hardware (like Intel Boot Guard).

I w zasadzie to jest głównym „atutem” tego złośliwego oprogramowania – znacznie utrudnione wykrycie, możliwość zignorowania wielu mechanizmów ochronnych OS oraz (oczywiście) działanie z bardzo wysokimi uprawnieniami.

Malware wykorzystuje podatność CVE-2022-21894, jeśli wczytacie się w szczegóły to jest ona… załatana. Ale jak się okazuje, mimo microsoftowej łatki udaje się ją wykorzystać – również w całkowicie zaktualizowanych systemach:

Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible as the affected, validly signed binaries have still not been added to the UEFI revocation list. BlackLotus takes advantage of this, bringing its own copies of legitimate – but vulnerable – binaries to the system in order to exploit the vulnerability

Co jeszcze? Oczywiście malware pracuje z bardzo wysokimi uprawnieniami (jądro OS), dzięki czemu ma między innymi możliwość wyłączenia Bitlockera, Windows Defendera czy mechanizmu HCVI.

Ze złych wieści – malware sprzedawany jest od jakiegoś czasu na czarnym rynku, z dobrych – do pierwszego uruchomienia wymaga uprawnień administratora Windows.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dżem Pond

    Pierwszy ? Serio ? Chyba wcale nie pierwszy

    Odpowiedz
    • Tytuł rzeczywiście niejasny. Ale już poszła aktualizacja -> Odkryto prawdopodobnie pierwszy, aktywny w Internecie UEFI bootkit, potrafiący omijać mechanizm UEFI Secure Boot: działa na w pełni załatanych Windowsach.

      Odpowiedz
  2. Prezes NBP

    i komu przeszkadzal ten niebezpieczny i archaiczny BIOS?

    Odpowiedz
    • Kamil

      UEFI powstał tylko po to, żeby zablokować ekspansję linuxów, od poczatku g@wno dawał pod wzgledem bezpieczeństwa.

      Odpowiedz
  3. SuperTux

    I dlatego UEFI nigdy nie powinno powstać, zwykły BIOS stykał, wystarczyło było dodać obsługę szyfrowania MBR żeby bez poprawnego klucza nie dało się uruchomić ani nadpisać MBR i by było cacy.

    Odpowiedz
  4. 00and

    Czyli jak zwykle; trzeba czytać co się klika i nic nie grozi. Skoro do pierwszego uruchomienia wymaga uprawnień administratora Windows, to infekcja wynika z potwierdzenia okienka UAC.

    Odpowiedz
  5. target@root#

    A z kolejnych złych wieści: uprawnienia administratora względnie łatwo uzyskać jak ktoś ma wprawę. Jak ominąłeś UEFI Secure Boot to uprawnienia administratora to jest jak pierdnąć

    Odpowiedz
    • grommit

      Właśnie PO TO, żeby mógł minąć UEFI Secure potrzebuje NAJPIERW admina, i sam tego nie potrafi, więc… nie siej dezinfo

      Odpowiedz
      • .

        A ty czytaj ze zrozumieniemm. On napisał że jak potrafisz ominąć secure boot to zastosowanie jakiegoś exploita do eskalacji uprawnień z usera do admina to nie jest jakoś trudne. Nie napisał że dzięki wgranemu exploitowi secure boot możesz dostać admina.

        Odpowiedz
      • Bart

        Wystarczy, że się podczepią pod instalki różnych programów i uprawnienia administratora będą mieli.

        Odpowiedz
  6. Tomek

    Większość ludzi domyślnie lata na koncie admina

    Odpowiedz
  7. Wcześniej działaj obecnie działa bez żadnego problemu. Bardzo groźne gówienko. Zero ochrony….

    Odpowiedz
  8. Ap. Paweł

    Domyślne włączenie tej technologii, przez producentów, na których wpłynął ms miało na celu ochronę ludzi przed malware. Rozumiem, że mogło to zostać uznane za niedopuszczalne, jeśli nie było komunikatu ze strony uefi „secure boot blokuje rozruch z urządzenia XY, podpis niezgodny lub jego brak. Dowiedz się czym jest bootkit przed wyłączeniem tej funkcji” i kiedy przy każdej instalacji dystrybucji Linux trzeba było ręcznie wprowadzać klucze do uefi, ponieważ nie było jeszcze paczki shim podpisanej przez ms.
    (zakładam, że ktoś nie jest na tyle bezmyślny, aby wyłączyć ten feature)

    https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/uefi-secure-boot-create-three-key-pairs.html

    Odpowiedz
    • Czyt

      Uefi, to System nad Bios(niewidoczny pr kom). SBoot, to jednorazowa czynność i przeszedł dalej. Więc gdzie jest bezpieczeństwo? Wprowadzono niebezpieczny Uefi, by wyeliminować masę linuxów i innych systemów, którym mija termin ważności. NIe dało się marketingiem, to zrobiono to programowo.

      Odpowiedz

Odpowiedz