Die National Security Agency (NSA) fordert Organisationen dazu auf, ihre Systeme gegen die UEFI-Bootkit-Malware BlackLotus abzusichern, und warnt davor, dass es „erhebliche Verwirrung“ und ein „falsches Sicherheitsgefühl“ hinsichtlich der von ihr ausgehenden Bedrohung gebe.
BlackLotus wurde erstmals im Oktober letzten Jahres beobachtet und verfügt über leistungsstarke Funktionen, darunter die Möglichkeit, Windows Defender, BitLocker und Hypervisor-geschützte Codeintegrität zu deaktivieren. Die Malware ist auch in der Lage, Windows-Rechner mit aktiviertem Secure Boot zu infizieren und nutzt dabei eine bekannte Schwachstelle (CVE-2022-21894) namens Baton Drop aus.
Microsoft hat letzten Monat die zusätzliche Baton Drop-Schwachstelle (CVE-2023-24932) behoben und im Rahmen des Mai-Patches am Dienstag einen Fix herausgegeben. Der neue Patch bietet zwar Konfigurationsoptionen zum manuellen Aktivieren von Schutzmaßnahmen gegen die Sicherheitslücke, diese werden jedoch nicht automatisch aktiviert. Laut Microsoft müssen Systemadministratoren überprüfen, ob alle ihre Geräte und bootfähigen Medien aktualisiert und für den Patch bereit sind, bevor sie die neuen Schutzmaßnahmen aktivieren.
In einem am Donnerstag veröffentlichten Informationsblatt zur Cybersicherheit (PDF) sagte die NSA, die Verwirrung über BlackLotus habe dazu geführt, dass einige Organisationen glaubten, es handele sich um eine unaufhaltsame, nicht patchbare Bedrohung, während andere dachten, sie seien sicher, weil sie die beiden von Microsoft herausgegebenen Patches angewendet hatten.
„Das Risiko liegt irgendwo zwischen beiden Extremen“, heißt es im Informationsblatt.
„Die NSA geht davon aus, dass die aktuell veröffentlichten Patches bei manchen Infrastrukturen ein falsches Sicherheitsgefühl vermitteln könnten. Da BlackLotus Shim und GRUB in seine Implantationsroutine integriert, sollten Linux-Administratoren auch auf Varianten achten, die beliebte Linux-Distributionen betreffen.“
Ziel ist ein Fehler in älteren Bootloadern
BlackLotus zielt auf das Booten von Windows ab, indem es eine Schwachstelle in älteren Bootloadern oder Bootmanagern ausnutzt, um eine Kette böswilliger Aktionen auszulösen, die die Endpunktsicherheit gefährden. Dies wird erreicht, indem die Baton Drop-Schwachstelle ausgenutzt wird, um die Secure Boot-Richtlinie zu entfernen und ihre Durchsetzung zu verhindern.
BlackLotus hat einige Merkmale mit Boot Hole gemeinsam, einer im Jahr 2020 entdeckten Schwachstelle. Im Gegensatz zu Boot Hole zielt BlackLotus jedoch auf anfällige Bootloader ab, die nicht zur Sperrliste der Secure Boot Deny List Database (DBX) hinzugefügt wurden.
„Da die anfälligen Bootloader nicht im DBX aufgeführt sind, können Angreifer vollständig gepatchte Bootloader durch anfällige Versionen ersetzen, um BlackLotus auszuführen“, schrieb die NSA.
„Administratoren sollten nicht davon ausgehen, dass die Bedrohung vollständig beseitigt ist, da Bootloadern, die für Baton Drop anfällig sind, weiterhin von Secure Boot vertraut wird.“
Infolgedessen könnte ein böswilliger Akteur, der Baton Drop ausnutzt, Secure Boot umgehen und das Gerät gefährden.
Tipps zur Verteidigung gegen BlackLotus
Zachary Blum, Plattformsicherheitsanalyst der NSA, sagte, der Schutz von Systemen vor BlackLotus sei keine einfache Lösung.
„Patching ist ein guter erster Schritt, wir empfehlen aber auch Härtungsmaßnahmen, abhängig von den Konfigurationen Ihres Systems und der verwendeten Sicherheitssoftware“, sagte er.
Das Informationsblatt der NSA empfiehlt, die neuen optionalen Schutzmaßnahmen zu aktivieren, die im Mai-Patch von Microsoft bereitgestellt werden, einschließlich Abhilfemaßnahmen, um ein Rollback des Boot-Managers und des Kernels auf Versionen zu verhindern, die für Baton Drop und BlackLotus anfällig sind.
„Die optionalen Abhilfemaßnahmen – einschließlich einer Code Integrity Boot Policy – sollten aktiviert werden, nachdem die Organisation ihre Windows-Installations-, Wiederherstellungs- und Diagnosesoftware auf die neuesten verfügbaren Versionen aktualisiert hat“, heißt es im Informationsblatt.
Da BlackLotus funktioniert, indem es eine ältere Windows-Bootloader-Binärdatei des Extensible Firmware Interface (EFI) in die Bootpartition einfügt und Speicherintegrität und BitLocker deaktiviert, empfiehlt die NSA, Endpunktsicherheitsprodukte zu konfigurieren, um diese Ereignisse außerhalb eines legitimen, geplanten Updates zu blockieren.
„Konfigurieren Sie Abwehrsoftware, um insbesondere Änderungen an der EFI-Boot-Partition zu prüfen. Alternativ können Sie Anwendungszulassungslisten nutzen, um nur bekannte und vertrauenswürdige ausführbare Dateien zuzulassen.“
Außerdem wird empfohlen, Endpunktsicherheitsprodukte und -tools zu konfigurieren, um die Zusammensetzung der EFI-Bootpartition zu überwachen. „Nutzen Sie diese Tools, um nach unerwarteten Änderungen in bootmgfw.efi, bootmgr.efi oder der Einführung zusätzlicher unerwarteter EFI-Binärdateien (z. B. shimx64.efi oder grubx64.efi) zu suchen. Änderungen an der Boot-Partition sind selten und erfordern eine zusätzliche Prüfung.“
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/Y5GN2J2NKJAX7KSX5HRL43FEBM.jpg?fit=300%2C300&ssl=1)
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/JOXMHAEEYFGYZEI73GGDSGVT7M.png?fit=300%2C300&ssl=1)
