A Agência de Segurança Nacional (NSA) publicou orientações de mitigação técnica para ajudar as organizações a proteger os sistemas contra infecções de bootkit BlackLotus UEFI.
O recomendações da NSA fornecem um plano para os defensores protegerem os sistemas do BlackLotus, um malware furtivo que surgiu em fóruns clandestinos no final de 2022 com recursos que incluem controle de acesso do usuário (UAC) e desvio seguro de inicialização, carregamento de driver não assinado e persistência prolongada.
Para desabilitar a inicialização segura, o bootkit explora uma vulnerabilidade de um ano no Windows (CVE-2022-21894) e implanta um gerenciador de inicialização do Windows mais antigo e vulnerável para explorar o bug.
Em abril, a Microsoft compartilhou informações sobre como os caçadores de ameaças podem identificar infecções BlackLotus em seus ambientes, destacando que o bootkit só pode ser implantado em sistemas já comprometidos. Em maio, a empresa lançou mitigações opcionais para evitar a reversão para carregadores de inicialização vulneráveis.
O documento de mitigação da NSA observa que o BlackLotus pode ser executado em sistemas totalmente corrigidos, porque os gerenciadores de inicialização vulneráveis aos quais ele visa não foram adicionados à lista de revogação do Secure Boot DBX.
De acordo com a NSA, embora o bootkit vise o estágio inicial de inicialização do software, “soluções de software defensivas podem ser configuradas para detectar e impedir a instalação da carga útil do BlackLotus ou o evento de reinicialização que inicia sua execução e implantação”.
A agência insta os administradores de sistema do Departamento de Defesa e de outras redes a agir, pois os patches de segurança disponíveis podem fornecer uma falsa sensação de segurança.
“Como o BlackLotus integra Shim e GRUB em sua rotina de implantação, os administradores do Linux também devem estar atentos às variantes que afetam as distribuições populares do Linux”, acrescentou a NSA.
As organizações são aconselhadas a manter seus sistemas Windows sempre atualizados, configurar o software de segurança para monitorar alterações na partição de inicialização EFI e, se tais alterações forem identificadas, impedir a reinicialização dos dispositivos e atualizar o Secure Boot com hashes da lista de negação DBX impedindo a execução de carregadores de inicialização mais antigos e vulneráveis.
“Adicionar hashes do carregador de inicialização ao DBX pode tornar muitas imagens de instalação e recuperação do Windows, discos e unidades de mídia removíveis não inicializáveis. A Microsoft fornece imagens atualizadas de instalação e recuperação para Windows 11 e 10. Atualize o DBX apenas após adquirir a mídia de instalação e recuperação com o sortimento de patch de janeiro de 2022 ou posterior aplicado”, de acordo com a NSA.
Os administradores de sistema Linux, explica a orientação da agência, podem remover o certificado Microsoft Windows Production CA 2011 do banco de dados Secure Boot, eliminando assim a necessidade de adicionar hashes DBX.
