Gizli UEFI kötü amaçlı yazılımı, yama yapılamayan Windows kusurunun etkinleştirdiği Güvenli Önyüklemeyi atlıyor

Gizli UEFI kötü amaçlı yazılımı, yama yapılamayan Windows kusurunun etkinleştirdiği Güvenli Önyüklemeyi atlıyor
Büyüt

Aurich Lawson | Getty Images

Araştırmacılar çarşamba günü büyük bir siber güvenlik bulgusunu duyurdu; bu, gerçek dünyadaki kötü amaçlı yazılımların bilinen ilk örneğidir. Güvenli Önyükleme ve diğer gelişmiş korumalar etkinleştirildiğinde ve tamamen güncellenmiş sürümlerde çalışırken bile bilgisayarın önyükleme işlemi Pencereler.

BlackLotus olarak adlandırılan kötü amaçlı yazılım, UEFI önyükleme kiti olarak bilinen şeydir. Bu karmaşık kötü amaçlı yazılım parçaları UEFI'yi hedef alıyor; Birleşik Genişletilebilir Firmware Arayüzü—neredeyse her modern bilgisayarın başlatılmasından sorumlu olan düşük seviyeli ve karmaşık ürün yazılımı zinciri. Bir bilgisayarın aygıt yazılımını işletim sistemiyle birleştiren mekanizma olan UEFI, başlı başına bir işletim sistemidir. Bir yerde bulunur SPIbağlı flash depolama yongası bilgisayar ana kartına lehimlenmiştir, bu da incelemeyi veya yama yapmayı zorlaştırır. Daha önce keşfedilen bootkit'ler şöyle: Kozmik İplik, MozaikRegresör, Ve Ay sıçraması

Flash depolama yongasında depolanan UEFI ürün yazılımını hedefleyerek çalışır. BlackLotus dahil diğerleri, depolanan yazılımı hedef alır. EFI sistem bölümü.

UEFI, bilgisayar açıldığında çalıştırılan ilk şey olduğundan işletim sistemini, güvenlik uygulamalarını ve ardından gelen tüm diğer yazılımları etkiler. Bu özellikler UEFI'yi kötü amaçlı yazılım başlatmak için mükemmel bir yer haline getirir. Başarılı olduğunda, UEFI önyükleme kitleri işletim sistemi güvenlik mekanizmalarını devre dışı bırakır ve bilgisayarın gizli virüslü kalmasını sağlar. işletim sistemi yeniden yüklendikten veya sabit sürücü takıldıktan sonra bile çekirdek modunda veya kullanıcı modunda çalışan kötü amaçlı yazılım değiştirildi.

Çekirdek düzeyinde erişime sahip neredeyse görünmez kötü amaçlı yazılımlar yüklemek tehdit aktörleri için ne kadar çekici olsa da, önlerinde birkaç zorlu engel var. Birincisi, öncelikle cihazı hacklemeleri ve yönetici sistem haklarını elde etmeleri gerekliliğidir. İşletim sistemindeki veya uygulamalardaki bir veya daha fazla güvenlik açığından yararlanarak veya kullanıcıyı truva atı yüklemesi için kandırarak yazılım. Tehdit aktörü ancak bu yüksek çıta aşıldıktan sonra önyükleme kitini yüklemeyi deneyebilir.

UEFI saldırılarının önünde duran ikinci şey ise UEFI Güvenli Önyükleme, başlatma sırasında kullanılan her yazılım parçasına bilgisayar üreticisi tarafından güvenilmesini sağlamak için kriptografik imzalar kullanan endüstri çapında bir standarttır. Güvenli Önyükleme, saldırganların amaçlanan önyükleme ürün yazılımını kötü amaçlı ürün yazılımıyla değiştirmesini önleyecek bir güven zinciri oluşturmak üzere tasarlanmıştır. Bu zincirdeki tek bir ürün yazılımı bağlantısı tanınmazsa Güvenli Önyükleme aygıtın başlatılmasını engeller.

Araştırmacılar geçmişte Güvenli Önyükleme güvenlik açıkları bulmuş olsa da buna dair herhangi bir belirti bulunmuyor Tehdit aktörlerinin bulunduğu 12 yılda korumayı asla atlatamadığı varoluş. Şimdiye kadar.

Çarşamba günü güvenlik firması ESET'teki araştırmacılar bir sunum sundular. derinlemesine analiz Windows 10 ve 11'in tamamen güncellenmiş sürümlerini çalıştıran tamamen güncellenmiş UEFI sistemlerinde Güvenli Önyüklemeyi atlayan, dünyanın ilk yaygın UEFI önyükleme kitinden biri. Oluşturucunun veya önyükleme kitinin adını doğrudan gösteren herhangi bir dize veya başka gösterge olmasa da ESET, araştırmacılar bunun neredeyse kesinlikle BlackLotus olarak bilinen bir önyükleme kitine karşılık geldiği sonucuna vardılar. olmuştur reklamı yapıldı geçen yıldan bu yana yeraltı siber suç forumlarında. Fiyat: 5.000$ ve sonrasında güncellemeler için 200$.

BlackLotus'un kısa tarihi.
Büyüt/ BlackLotus'un kısa tarihi.

ESET

Güvenli Önyüklemeyi yenmek için önyükleme seti istismarlardan yararlanır CVE-2022-21894Windows'un desteklenen tüm sürümlerinde bulunan bir güvenlik açığı Microsoft yaması Ocak 2022'de. Mantık hatası olarak adlandırılan Baton Düşüşü Bunu keşfeden araştırmacı tarafından, başlatma sırasında Güvenli Önyükleme işlevlerini önyükleme sırasından kaldırmak için kullanılabilir. Saldırganlar ayrıca sabit sürücüleri şifrelemeye yönelik bir Windows özelliği olan BitLocker'ın anahtarlarını elde etmek için bu kusuru kötüye kullanabilirler.

CVE-2022-21894'ün BlackLotus yaratıcıları için özellikle değerli olduğu kanıtlanmıştır. Microsoft'un yeni yamalı yazılım yayınlamasına rağmen, güvenlik açığı bulunan imzalı ikili dosyalar henüz UEFI iptal listesi artık güvenilmemesi gereken önyükleme dosyalarını işaretler. Microsoft bunun nedenini açıklamadı ancak bunun muhtemelen günümüzde kullanımda olan yüzlerce güvenlik açığı bulunan önyükleyiciyle ilgili olması muhtemeldir. İmzalanan bu ikili dosyalar iptal edilirse milyonlarca cihaz artık çalışmayacaktır. Sonuç olarak, saldırganlar yamalı yazılımı daha eski ve savunmasız yazılımla değiştirebildiğinden, tamamen güncellenen cihazlar savunmasız kalmaya devam ediyor.

Son Blog Yazısı

İranlı Bilim Adamı Geleceği Tahmin Eden Bir Makineye Sahip Olduğunu Söyledi
September 04, 2023

Bundan şüphe etmek için hiçbir neden göremiyoruz. Telif hakkı Looper, LLC'ye aittir ve Sony Pictures'ın izniyleTahran'da yaşayan 27 yaşındaki işad...

AT&T'nin LTE Ağı, Drone'ların Gökyüzüne Hükmetmesine Yardımcı Olacak
September 04, 2023

Küçük dronların gökyüzüne gerçekten hakim olabilmesi için Wi-Fi bağımlılığını kırmaları gerekiyor. Çoğu tüketici drone'u artık bir bir telefon veya...

Netflix Qwikster'ı Terk Ediyor; DVD'ler Netflix'te kalacak
September 04, 2023

Netflix CEO'su Reed Hastings, bugün kısa bir blog yazısında son planların tamamen tersine döndüğünü duyurdu. Netflix CEO'su Reed Hastings, bugün k...