АНБ выпустило инструкции по защите от UEFI-буткита BlackLotus

Агентство национальной безопасности США (АНБ) опубликовало руководство по обнаружению и предотвращению заражения UEFI-буткитом BlackLotus. В связи с этим агентство рекомендует владельцам инфраструктуры принять меры по усилению политик исполнения пользовательских программ и контролировать целостность загрузочного раздела.

Скрытый буткит BlackLotus стал первым широко известным вредоносным ПО , способным обходить защиту Secure Boot в UEFI, что делает его серьезной угрозой в киберпространстве. BlackLotus может работать даже на полностью обновленных системах Windows 11 с включенной безопасной загрузкой UEFI.

UEFI-буткиты, подобные BlackLotus, дают злоумышленнику полный контроль над процедурой загрузки операционной системы, что позволяет вмешиваться в механизмы безопасности и развертывать дополнительные полезные нагрузки с повышенными привилегиями.

Стоит отметить, что BlackLotus не является угрозой для прошивки, а сконцентрирован на самой ранней стадии ПО процесса загрузки для достижения постоянства и уклонения.

BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы обойти защиту UEFI Secure Boot и настроить своё постоянство в компьютере жертвы . Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.

Кроме применения исправлений второй уязвимости обхода Secure Boot ( CVE-2023-24932 ), эксплуатируемой BlackLotus, организациям рекомендуется выполнить следующие шаги по смягчению последствий:

• Примените последние обновления безопасности, обновите средства восстановления;
• Настройте ПО защиты для проверки изменений в загрузочном разделе EFI;
• Используйте продукты для обеспечения безопасности конечных точек и инструменты мониторинга встроенного ПО для мониторинга измерений целостности устройства и конфигурации загрузки;
• Настройте безопасную загрузку UEFI, чтобы заблокировать старые (до января 2022 г.) подписанные загрузчики Windows.

В апреле корпорация Microsoft выпустила руководство , которое поможет организациям проверить заражение корпоративных компьютеров BlackLotus через уязвимость CVE-2022-21894. Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.