La Agencia de Seguridad Nacional de EE. UU. (NSA) publicó el jueves una guía para ayudar a las organizaciones a detectar y prevenir infecciones de una interfaz de firmware extensible unificada (UEFI) kit de arranque llamado Loto negro.
Para ello, la agencia es recomendando que “los propietarios de la infraestructura actúen fortaleciendo las políticas ejecutables del usuario y monitoreando la integridad de la partición de arranque”.
BlackLotus es una solución avanzada de crimeware que Kaspersky presentó por primera vez en octubre de 2022. Un kit de arranque UEFI capaz de eludir las protecciones de arranque seguro de Windows, desde entonces han surgido muestras del malware en la naturaleza.
Esto se logra aprovechando una falla conocida de Windows llamada Baton Drop (CVE-2022-21894puntaje CVSS: 4.4) descubierto en vulnerable cargadores de arranque no agregado en el Lista de revocación de DBX de arranque seguro. Microsoft abordó la vulnerabilidad en enero de 2022.
Esta laguna podría ser aprovechada por actores de amenazas para reemplazar cargadores de arranque completamente parcheados con versiones vulnerables y ejecutar BlackLotus en puntos finales comprometidos.
kits de arranque UEFI como BlackLotus otorgar un actor de amenazas control completo sobre el sistema operativo procedimiento de arranquelo que hace posible interferir con los mecanismos de seguridad y desplegar cargas útiles adicionales con privilegios elevados.
Vale la pena señalar que BlackLotus no es un amenaza de firmware, y en su lugar se enfoca en la etapa de software más temprana del proceso de arranque para lograr persistencia y evasión. No hay evidencia de que el malware se dirija a los sistemas Linux.
“Los bootkits UEFI pueden perder en sigilo en comparación con los implantes de firmware […] ya que los bootkits están ubicados en una partición de disco FAT32 de fácil acceso”, dijo el investigador de ESET Martin Smolár en un análisis de BlackLotus en marzo de 2023.
“Sin embargo, ejecutarse como cargador de arranque les brinda casi las mismas capacidades que los implantes de firmware, pero sin tener que superar las defensas flash SPI multinivel, como los bits de protección BWE, BLE y PRx, o las protecciones proporcionadas por hardware (como Intel Boot Guardia).
Además de aplicar las actualizaciones del martes de parches de mayo de 2023 de Microsoft, que solucionó una segunda falla de omisión de arranque seguro (CVE-2023-24932, puntaje CVSS: 6.7) explotada por BlackLotus, se recomienda a las organizaciones que lleven a cabo los siguientes pasos de mitigación:
- Actualizar medios de recuperación
- Configure el software defensivo para examinar los cambios en la partición de arranque EFI
- Supervise las medidas de integridad del dispositivo y la configuración de arranque en busca de cambios anómalos en la partición de arranque EFI
- Personalizar arranque seguro UEFI para bloquear cargadores de arranque de Windows más antiguos y firmados
- Elimine el certificado Microsoft Windows Production CA 2011 en dispositivos que arrancan Linux exclusivamente
Microsoft, por su parte, está adoptando un enfoque por etapas para cerrar por completo el vector de ataque. Se espera que las correcciones estén disponibles de forma general en el primer trimestre de 2024.