NSA compartilha dicas sobre como bloquear ataques de malware BlackLotus UEFI
23 de Junho de 2023

A Agência de Segurança Nacional dos Estados Unidos (NSA) divulgou hoje orientações sobre como se defender de ataques de malware BlackLotus UEFI bootkit.

O BlackLotus vem circulando em fóruns de hackers desde outubro de 2022, sendo comercializado como um malware capaz de evitar detecção, resistir a esforços de remoção e neutralizar vários recursos de segurança do Windows, como o Defender, HVCI e BitLocker.

Em maio, a Microsoft lançou atualizações de segurança para abordar uma vulnerabilidade zero-day do Secure Boot ( CVE-2023-24932 ), que foi usada para contornar as correções lançadas para o CVE-2022-21894 , o bug do Secure Boot inicialmente abusado nos ataques BlackLotus no ano passado.

No entanto, a correção do CVE-2023-24932 é desabilitada por padrão e não removerá o vetor de ataque explorado para implantar o BlackLotus.

Para proteger dispositivos Windows, os administradores devem passar por um procedimento manual que requer vários passos "para atualizar mídia inicializável e aplicar revogações antes de habilitar esta atualização".

"O BlackLotus é muito parável em pontos de extremidade do Windows totalmente atualizados, dispositivos personalizados do Secure Boot ou pontos de extremidade do Linux.

A Microsoft lançou correções e continua a fortalecer as mitigação contra o BlackLotus e o Baton Drop", disse a NSA.

"A comunidade Linux pode remover o certificado da Microsoft Windows Production CA 2011 em dispositivos que inicializam exclusivamente no Linux.

As opções de mitigação disponíveis hoje serão reforçadas por mudanças nos certificados de Secure Boot do fornecedor no futuro (alguns certificados estão expirando a partir de 2026)".

Zachary Blum, analista de segurança de plataforma da NSA, aconselhou hoje os administradores do sistema e os defensores de rede a também implementar ações de endurecimento em sistemas corrigidos contra essa vulnerabilidade.

"A NSA recomenda que os administradores do sistema dentro do DoD e outras redes tomem medidas.

O BlackLotus não é uma ameaça de firmware, mas sim mira na fase mais antiga do software de inicialização", disse a NSA.

"Soluções de software defensivas podem ser configuradas para detectar e impedir a instalação do payload do BlackLotus ou o evento de reinicialização que inicia sua execução e implantação.

A NSA acredita que as correções atualmente publicadas podem fornecer uma falsa sensação de segurança para algumas infraestruturas".

No aviso de hoje, a agência de inteligência dos EUA recomendou as seguintes medidas como mitigação adicional: O BlackLotus tem sido usado em ataques direcionados ao Windows 10 e 11 para explorar uma vulnerabilidade (referida como Baton Drop e rastreada como CVE-2022-21894 ) encontrada em carregadores de inicialização mais antigos (também conhecidos como gerenciadores de inicialização), que ajudam a contornar a proteção do Secure Boot e acionar uma série de ações maliciosas projetadas para comprometer a segurança do sistema.

Ao alavancar o CVE-2022-21894 , os atacantes removem a política do Secure Boot, impedindo sua aplicação (os carregadores de inicialização afetados por essa vulnerabilidade ainda não foram incluídos na lista de revogações do Secure Boot DBX).

"No entanto, as correções não foram emitidas para revogar a confiança nos carregadores de inicialização não corrigidos por meio do banco de dados de lista de negação do Secure Boot (DBX).

Os administradores não devem considerar a ameaça totalmente remediada, pois os carregadores de inicialização vulneráveis ao Baton Drop ainda são confiáveis pelo Secure Boot", disse a NSA.

Como resultado, os atacantes podem substituir carregadores de inicialização totalmente corrigidos por versões vulneráveis, permitindo que eles instalem e executem o malware em dispositivos comprometidos.

Durante o processo de instalação do BlackLotus, um binário EFI mais antigo do carregador de inicialização do Windows é implantado na partição de inicialização.

Em seguida, as proteções BitLocker e Memory Integrity são desativadas logo antes que o dispositivo seja reiniciado para iniciar e implantar o malware.

"Proteger sistemas contra o BlackLotus não é uma solução simples.

Corrigir é um bom primeiro passo, mas também recomendamos ações de endurecimento, dependentes das configurações do seu sistema e do software de segurança utilizado", disse Blum.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...