ESET'e göre, UEFI Güvenli Önyükleme güvenlik sistemine sahip yeni Windows 11 bile "BlackLotus" önyükleme setinden güvenli değil. Önyükleme seti halihazırda vahşi ortamda aktiftir ve ayrıca bilgisayar korsanı forumlarında da aktif olarak sunulmaktadır.
Windows kullanıcıları için kırmızı uyarı: ESET araştırmacıları, Windows'ta bir güvenlik sistemi olan UEFI Secure Boot'un temel güvenlik özelliklerini atlayabilen bir bootkit belirlediler. Etkinleştirilmiş Güvenli Önyüklemeye sahip tamamen güncel bir Windows 11 sistemi bile kötü amaçlı program için bir sorun oluşturmaz.Önyükleme kitinin işlevselliğine ve bireysel özelliklerine bağlı olarak, Avrupa BT güvenlik üreticisindeki uzmanlar tehdidin BlackLotus olarak bilinen işin içindedir. UEFI önyükleme kiti, Ekim 2022'den bu yana bilgisayar korsanı forumlarında 5.000 dolara satıldı.
Ayrıca güncellendi Windows 11 emin değilim
"Telemetrimizdeki isabetlerden ilk ipuçlarını 2022'nin sonunda aldık. Bunların bir HTTP indiricisi olan BlackLotus'un bir bileşeni olduğu ortaya çıktı. İlk analizden sonra, altı BlackLotus yükleyicisinin örneklerde kod kalıpları bulduğunu bulduk. Bu, tüm yürütme zincirini incelememize ve burada yalnızca sıradan kötü amaçlı yazılımlarla uğraşmadığımızı görmemize olanak sağladı," diyor bootkit araştırmasına liderlik eden ESET araştırmacısı Martin Smolár.
Güvenlik açığından yararlanılıyor
BlackLotus, UEFI Güvenli Önyüklemeyi atlamak ve kendisini bilgisayara kalıcı olarak yerleştirmek için bir yıldan daha eski bir güvenlik açığından (CVE-2022-21894) yararlanır. Bu, bu güvenlik açığının vahşi doğada bilinen ilk istismarıdır. Güvenlik açığı Microsoft Ocak 2022 güncellemesi ile giderilmiş olsa da kötüye kullanımı hala mümkündür. Bunun nedeni, etkilenen, geçerli olarak imzalanmış ikili dosyaların hala UEFI engelleme listesine eklenmemiş olmasıdır. BlackLotus, meşru - ancak daha savunmasız - ikili dosyaların kendi kopyalarını sisteme getirerek bundan yararlanır.
Geniş olasılık yelpazesi
BlackLotus, BitLocker, HVCI ve Windows Defender gibi işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilir. Bir kez yüklendikten sonra, kötü amaçlı yazılımın ana hedefi bir çekirdek sürücüsü (diğer şeylerin yanı sıra kaldırılmaya karşı korur) ve bir HTTP indirici yüklemektir. İkincisi, komut ve kontrol sunucusuyla iletişim kurmaktan sorumludur ve kullanıcı modu veya çekirdek modu için ek yükler yükleyebilir. İlginç bir şekilde, güvenliği ihlal edilmiş makine Ermenistan, Beyaz Rusya, Kazakistan, Moldova, Rusya veya Ukrayna'dan yerel ayarlar kullanıyorsa, bazı BlackLotus yükleyicileri önyükleme kiti yüklemesine devam etmez.
BlackLotus, en azından Ekim 2022'nin başından beri yeraltı forumlarında tanıtılıyor ve satılıyor. Smolár, "Önyükleme kitinin orijinal olduğuna ve bununla ilgili reklamın bir aldatmaca olmadığına dair kanıtlarımız var" diyor. "Hem kamu kaynaklarından hem de telemetrimizden aldığımız az sayıda BlackLotus örneği, henüz çok fazla bilgisayar korsanının onu kullanmaya başlamadığından şüphelenmemize neden oluyor. Bu bootkit suç yazılımı gruplarının eline geçerse bunun hızla değişeceğinden korkuyoruz. Çünkü dağıtımı kolay ve bu gruplar tarafından örneğin botnetler aracılığıyla yayılabilir.”
Önyükleme kiti nedir?
UEFI önyükleme takımları, herhangi bir bilgisayar için çok güçlü tehditlerdir. İşletim sistemi önyükleme işlemi üzerinde tam denetime sahip olduklarında, çeşitli işletim sistemi güvenlik mekanizmalarını devre dışı bırakabilir ve önyüklemenin ilk aşamalarında kendi çekirdek veya kullanıcı modu kötü amaçlı programlarını enjekte edebilirler. Sonuç olarak, gizli ve yüksek ayrıcalıklarla çalışırlar. Bugüne kadar, vahşi doğada yalnızca birkaç önyükleme kiti keşfedildi ve halka açıklandı. Doğadaki ilk UEFI üretici yazılımı implantı olan ve ESET tarafından 2018'de keşfedilen LoJax gibi aygıt yazılımı implantlarıyla karşılaştırıldığında, UEFI önyükleme setleri, kolayca erişilebilen bir FAT32 sabit sürücü bölümünde bulunduğundan gizlilik özelliklerini kaybedebilir. Ancak, bir önyükleyici olarak çalıştırıldıklarında, ürün yazılımı implantlarına karşı koruma sağlayan birden çok güvenlik katmanının üstesinden gelmek zorunda kalmadan neredeyse aynı yeteneklere sahip olurlar. "En iyi ipucu, sistemi ve güvenlik çözümünü güncel tutmaktır. Bu, potansiyel bir tehdidin işletim sistemine sızmadan erken durdurulma şansını artırıyor," diye bitiriyor Smolár.
UEFI nedir?
UEFI, "Birleşik Genişletilebilir Ürün Yazılımı Arayüzü" anlamına gelir ve ana kartın sabit yazılımını açıklar. Bu da önyükleme işlemi sırasında donanım ve yazılım arasındaki arabirimi oluşturur. UEFI'nin önemli bir işlevi, bilgisayarın Güvenli Önyüklemede başlayabilmesidir. Bu, kötü amaçlı yazılımın cihaza girmesini önlemek içindir. Bu yüzden bu güvenlik özelliğini atlamak çok tehlikelidir.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.