ईएसईटी के मुताबिक, यूईएफआई सुरक्षित बूट सुरक्षा प्रणाली के साथ नया विंडोज 11 भी "ब्लैकलोटस" बूट किट से सुरक्षित नहीं है। बूटकिट पहले से ही जंगली में सक्रिय है और हैकर मंचों में भी सक्रिय रूप से पेश किया जाता है।
विंडोज उपयोगकर्ताओं के लिए रेड अलर्ट: ईएसईटी शोधकर्ताओं ने एक बूटकिट की पहचान की है जो यूईएफआई सिक्योर बूट - विंडोज में एक सुरक्षा प्रणाली की प्रमुख सुरक्षा सुविधाओं को बायपास करने में सक्षम है। सक्रिय सिक्योर बूट के साथ पूरी तरह से अप-टू-डेट विंडोज 11 सिस्टम भी दुर्भावनापूर्ण प्रोग्राम के लिए कोई समस्या पैदा नहीं करता है। बूट किट की कार्यक्षमता और इसकी व्यक्तिगत विशेषताओं के आधार पर, यूरोपीय आईटी सुरक्षा निर्माता के विशेषज्ञ मानते हैं कि खतरा ब्लैकलोटस के रूप में जाना जाता है शामिल है। अक्टूबर 2022 से हैकर फ़ोरम पर UEFI बूट किट $5.000 में बेची गई है।
अपडेटेड विंडोज 11 भी सुनिश्चित नहीं है
“हमें 2022 के अंत में अपनी टेलीमेट्री में हिट्स से पहला सुराग मिला। ये BlackLotus का एक घटक निकला – एक HTTP डाउनलोडर। एक प्रारंभिक विश्लेषण के बाद, हमने पाया कि छह ब्लैकलोटस इंस्टालर ने नमूनों में कोड पैटर्न पाया। इसने हमें संपूर्ण निष्पादन श्रृंखला की जांच करने की अनुमति दी और देखा कि हम यहां केवल नियमित मैलवेयर से नहीं निपट रहे हैं," ईएसईटी शोधकर्ता मार्टिन स्मोलर कहते हैं, जिन्होंने बूटकिट जांच का नेतृत्व किया।
भेद्यता का शोषण किया जाता है
BlackLotus एक भेद्यता (CVE-2022-21894) का फायदा उठाता है जो UEFI सिक्योर बूट को बायपास करने और कंप्यूटर में खुद को स्थायी रूप से स्थापित करने के लिए एक वर्ष से अधिक पुराना है। यह जंगली में इस भेद्यता का पहला ज्ञात शोषण है। हालाँकि Microsoft जनवरी 2022 अपडेट के साथ भेद्यता को ठीक कर दिया गया था, फिर भी इसका दुरुपयोग संभव है। ऐसा इसलिए है क्योंकि प्रभावित, वैध रूप से हस्ताक्षरित बायनेरिज़ को अभी भी UEFI ब्लॉक सूची में नहीं जोड़ा गया है। ब्लैकलोटस सिस्टम पर वैध - लेकिन अधिक कमजोर - बायनेरिज़ की अपनी प्रतियां लाकर इसका फायदा उठाता है।
संभावनाओं की विस्तृत श्रृंखला
BlackLotus BitLocker, HVCI और Windows डिफेंडर जैसे ऑपरेटिंग सिस्टम सुरक्षा तंत्र को अक्षम करने में सक्षम है। एक बार इंस्टॉल हो जाने के बाद, मैलवेयर का मुख्य लक्ष्य एक कर्नेल ड्राइवर स्थापित करना है (जो इसे हटाने से बचाता है, अन्य चीजों के साथ) और एक HTTP डाउनलोडर। उत्तरार्द्ध आदेश और नियंत्रण सर्वर के साथ संचार करने के लिए ज़िम्मेदार है और उपयोगकर्ता मोड या कर्नेल मोड के लिए अतिरिक्त पेलोड लोड कर सकता है। दिलचस्प बात यह है कि कुछ ब्लैकलोटस इंस्टालर बूटकिट इंस्टालेशन के साथ आगे नहीं बढ़ते हैं यदि समझौता मशीन अर्मेनिया, बेलारूस, कजाकिस्तान, मोल्दोवा, रूस या यूक्रेन से लोकेशंस का उपयोग करती है।
ब्लैकलोटस को कम से कम अक्टूबर 2022 की शुरुआत से भूमिगत मंचों पर प्रचारित और बेचा गया है। स्मोलर कहते हैं, "हमारे पास सबूत हैं कि बूट किट असली है और इसका विज्ञापन कोई घोटाला नहीं है।" "सार्वजनिक स्रोतों और हमारे टेलीमेट्री दोनों से हमें ब्लैकलोटस के नमूनों की छोटी संख्या मिली है, जिससे हमें संदेह होता है कि कई हैकर्स ने अभी तक इसका उपयोग करना शुरू नहीं किया है। हमें डर है कि अगर यह बूटकिट क्राइमवेयर समूहों के हाथों में चली गई तो यह जल्दी से बदल जाएगा। क्योंकि इसे वितरित करना आसान है और उदाहरण के लिए, इन समूहों द्वारा बॉटनेट के माध्यम से फैलाया जा सकता है।"
बूट किट क्या है?
यूईएफआई बूटकिट किसी भी कंप्यूटर के लिए बहुत शक्तिशाली खतरे हैं। एक बार जब वे ऑपरेटिंग सिस्टम बूट प्रक्रिया पर पूर्ण नियंत्रण प्राप्त कर लेते हैं, तो वे विभिन्न ऑपरेटिंग सिस्टम सुरक्षा तंत्रों को अक्षम कर सकते हैं और अपने स्वयं के कर्नेल- या उपयोगकर्ता-मोड दुर्भावनापूर्ण प्रोग्राम को बूट के शुरुआती चरणों में इंजेक्ट कर सकते हैं। नतीजतन, वे गुप्त रूप से और उच्च विशेषाधिकारों के साथ काम करते हैं। आज तक, जंगली और सार्वजनिक रूप से वर्णित केवल कुछ बूट किट ही खोजे गए हैं। फर्मवेयर इम्प्लांट्स की तुलना में - LoJax की तरह, जंगली में पहला UEFI फर्मवेयर इम्प्लांट और 2018 में ESET द्वारा खोजा गया - UEFI बूटकिट्स अपना स्टील्थ खो सकते हैं क्योंकि बूटकिट्स आसानी से सुलभ FAT32 हार्ड ड्राइव पार्टीशन पर रहते हैं। हालांकि, जब बूटलोडर के रूप में चलाया जाता है, तो फर्मवेयर इम्प्लांट्स के खिलाफ सुरक्षा की कई परतों को दूर किए बिना उनके पास लगभग समान क्षमताएं होती हैं। "सर्वश्रेष्ठ युक्ति सिस्टम और उसके सुरक्षा समाधान को अद्यतित रखना है। इससे इस बात की संभावना बढ़ जाती है कि ऑपरेटिंग सिस्टम में घुसपैठ करने से पहले एक संभावित खतरे को जल्दी ही रोक दिया जाएगा," स्मोलर ने निष्कर्ष निकाला।
यूईएफआई क्या है?
यूईएफआई का अर्थ "यूनिफाइड एक्स्टेंसिबल फर्मवेयर इंटरफेस" है और यह मेनबोर्ड के फर्मवेयर का वर्णन करता है। यह बदले में बूट प्रक्रिया के दौरान हार्डवेयर और सॉफ्टवेयर के बीच इंटरफेस बनाता है। यूईएफआई का एक आवश्यक कार्य यह है कि कंप्यूटर सुरक्षित बूट में शुरू हो सकता है। यह मैलवेयर को डिवाइस पर आने से रोकने के लिए है। इसलिए इस सुरक्षा फीचर को दरकिनार करना इतना खतरनाक है।
ESET.com पर अधिक
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।