Wyciek kodu źródłowego BlackLotus, który omijał Bezpieczny rozruch systemu Windows, Microsoft Defender, VBS

Kilka dni temu, za pośrednictwem lipcowej łatki, Microsoft wprowadził drugą fazę utwardzania luki w zabezpieczeniach bezpiecznego rozruchu BlackLotus. Wydano dynamiczne aktualizacje bezpiecznego systemu operacyjnego dla systemów Windows 11 i Windows 10 , aby rozwiązać ten problem. Pierwsza faza miała miejsce około cztery miesiące temu, w marcu 2023 r.

Dla nieświadomych BlackLotus był znany ze swojej zdolności do omijania różnych zabezpieczeń systemu Windows, takich jak Secure Boot (co jest oczywiste, ponieważ jest to luka w bezpiecznym rozruchu), a także Microsoft Defender, Virtualization-based Security (VBS) czy HVCI (Hypervisor- Protected Code Integrity), BitLocker i UAC (kontrola konta użytkownika), nawet w łatanych systemach Windows z tamtych czasów.

Tymczasem kod źródłowy BlackLotus również wyciekł niemal w tym samym czasie. Został przesłany do GitHub przez użytkownika Yukari, który usunął lukę Baton Drop (CVE-2022-21894), która była początkowo wykorzystywana przez twórców szkodliwego oprogramowania.

Alex Matrosov, dyrektor generalny i współzałożyciel firmy Binarly zajmującej się badaniami nad bezpieczeństwem, wyraził zaniepokojenie wyciekiem i przekazał firmie Neowin następujące oświadczenie wyjaśniające potencjalne implikacje:

Kod źródłowy, który wyciekł, nie jest kompletny i zawiera głównie część rootkita oraz kod bootkita do obejścia Bezpiecznego rozruchu. Większość z tych sztuczek i technik jest znana od lat i nie ma znaczącego wpływu. Jednak fakt, że można je połączyć z nowymi exploitami, takimi jak kampania BlackLotus, był czymś nieoczekiwanym dla branży i pokazuje rzeczywiste ograniczenia obecnych zabezpieczeń poniżej systemu operacyjnego.

Wyciek BlackLotus pokazuje, jak stare sztuczki z rootkitami i bootkitami w połączeniu z nowymi lukami w zabezpieczeniach umożliwiającymi obejście bezpiecznego rozruchu mogą nadal być bardzo skuteczne w zaślepianiu wielu nowoczesnych rozwiązań bezpieczeństwa punktów końcowych. Ogólnie rzecz biorąc, pokazuje złożoność łańcucha dostaw po stronie firmy Microsoft, gdzie poprawka była bardziej składniowa i nie łagodziła całej klasy powiązanych problemów poniżej systemu operacyjnego. I żeby było jasne, BlackLotus zaadaptował już publicznie znany exploit BatonDrop.

Nawet po tym, jak dostawca naprawi luki w zabezpieczeniach związane z obejściem bezpiecznego rozruchu związane z BatonDrop, luki w zabezpieczeniach mogą mieć długoterminowy wpływ na łańcuch dostaw w całej branży. Użycie luki CVE-2022-21894 jako przykładu pokazuje, w jaki sposób takie luki można wykorzystać w środowisku naturalnym po roku, nawet jeśli dostępna jest poprawka dostawcy.

Obrońcy przedsiębiorstwa i CISO muszą zrozumieć, że zagrożenia poniżej systemu operacyjnego są oczywiste i stanowią zagrożenie dla ich środowisk. Ponieważ ten wektor ataku przynosi atakującemu znaczne korzyści, będzie on coraz bardziej wyrafinowany i złożony. Twierdzenia sprzedawców dotyczące zabezpieczeń mogą być zupełnie sprzeczne z rzeczywistością.

Obawy są z pewnością uzasadnione, ponieważ twórcy szkodliwego oprogramowania coraz lepiej wykonują swoją pracę. Niedawno firma zajmująca się bezpieczeństwem Cisco Talos pochwaliła umiejętności twórców RedDriver, zauważając, że stabilność sterownika była prawie nienaganna, ponieważ ani razu nie pojawił się BSOD (niebieski ekran śmierci).