La Agencia de Seguridad Nacional de EE. UU. (NSA) publicó hoy una guía sobre cómo defenderse contra los ataques de malware del bootkit BlackLotus UEFI.
BlackLotus ha estado circulando en foros de piratería desde octubre de 2022 , comercializado como malware capaz de evadir la detección, resistir los esfuerzos de eliminación y neutralizar múltiples funciones de seguridad de Windows, como Defender, HVCI y BitLocker.
En mayo, Microsoft lanzó actualizaciones de seguridad para abordar una vulnerabilidad de día cero de arranque seguro ( CVE-2023-24932 ) que se usó para omitir los parches lanzados para CVE-2022-21894 , el error de arranque seguro del que se abusó inicialmente en los ataques de BlackLotus el año pasado.
Sin embargo, la solución CVE-2023-24932 está deshabilitada de manera predeterminada y no eliminará el vector de ataque explotado para implementar BlackLotus.
Para proteger los dispositivos de Windows, los administradores deben realizar un procedimiento manual que requiere varios pasos «para actualizar los dispositivos de arranque y aplicar las revocaciones antes de habilitar esta actualización».
«BlackLotus se puede detener en puntos finales de Windows completamente actualizados, dispositivos personalizados con arranque seguro o puntos finales de Linux. Microsoft ha lanzado parches y continúa fortaleciendo las mitigaciones contra BlackLotus y Baton Drop», dijo la NSA .
«La comunidad de Linux puede eliminar el certificado Microsoft Windows Production CA 2011 en dispositivos que arrancan Linux exclusivamente. Las opciones de mitigación disponibles hoy en día se verán reforzadas por cambios en los certificados de arranque seguro del proveedor en el futuro (algunos certificados expirarán a partir de 2026)».
Consejos de mitigación
Zachary Blum, analista de seguridad de la plataforma de la NSA, aconsejó hoy a los administradores de sistemas y defensores de la red que también implementen acciones de refuerzo en los sistemas parcheados contra esta vulnerabilidad.
Zachary Blum, analista de seguridad de la plataforma de la NSA, aconsejó hoy a los administradores de sistemas y defensores de la red que también implementen acciones de refuerzo en los sistemas parcheados contra esta vulnerabilidad.
«La NSA recomienda que los administradores de sistemas dentro del DoD y otras redes tomen medidas. BlackLotus no es una amenaza para el firmware, sino que apunta a la etapa más temprana de arranque del software», dijo la NSA .
«Las soluciones de software defensivo se pueden configurar para detectar y evitar la instalación de la carga útil de BlackLotus o el evento de reinicio que inicia su ejecución e implantación. La NSA cree que los parches publicados actualmente podrían proporcionar una falsa sensación de seguridad para algunas infraestructuras».
En el aviso de hoy, la agencia de inteligencia de EE. UU. recomendó las siguientes medidas como mitigaciones adicionales:
- Aplique las últimas actualizaciones de seguridad, actualice los medios de recuperación y active la mitigación opcional
- Fortalezca las políticas defensivas configurando el software de seguridad de punto final para bloquear los intentos de instalación de malware BlackLotus
- Use productos de seguridad de punto final y herramientas de monitoreo de firmware para monitorear las mediciones de integridad del dispositivo y la configuración de arranque
- Personalice el arranque seguro de UEFI para bloquear cargadores de arranque de Windows firmados más antiguos (anteriores a enero de 2022)
BlackLotus se ha utilizado en ataques dirigidos a Windows 10 y 11 para explotar una vulnerabilidad (denominada Baton Drop y rastreada como CVE-2022-21894 ) que se encuentra en cargadores de arranque más antiguos (también conocidos como gestores de arranque) que ayuda a eludir la protección de arranque seguro y desencadenar una serie de acciones maliciosas diseñadas para comprometer la seguridad del sistema.
Al aprovechar CVE-2022-21894, los atacantes eliminan la política de arranque seguro, lo que impide su aplicación (los cargadores de arranque afectados por esta vulnerabilidad aún no se han incluido en la lista de revocación de DBX de arranque seguro).
«Sin embargo, no se emitieron parches para revocar la confianza en los cargadores de arranque sin parches a través de la base de datos de la lista de denegación de arranque seguro (DBX). Los administradores no deben considerar la amenaza completamente remediada, ya que Secure Boot todavía confía en los cargadores de arranque vulnerables a Baton Drop», dijo la NSA. dicho.
Como resultado, los atacantes pueden reemplazar cargadores de arranque completamente parcheados con versiones vulnerables, lo que les permite instalar y ejecutar el malware en dispositivos comprometidos.
Durante el proceso de instalación de BlackLotus, se implementa en la partición de arranque un binario antiguo de interfaz de firmware extensible (EFI) del cargador de arranque de Windows. A continuación, las protecciones de integridad de la memoria y BitLocker se desactivan justo antes de que el dispositivo se reinicie para iniciar e implantar el malware.
«Proteger los sistemas contra BlackLotus no es una solución simple. La aplicación de parches es un buen primer paso, pero también recomendamos acciones de refuerzo, según las configuraciones de su sistema y el software de seguridad utilizado», dijo Blum.
Fuente y redacción: bleepingcomputer.com