ԱՄՆ Ազգային անվտանգության գործակալությունը (NSA) հինգշաբթի օրը նոր ուղեցույց հրապարակեց, որի նպատակն է ընկերությունների հայտնաբերումն ու BlackLotus կոչվող Unified Extensible Firmware Interface (UEFI) bootkit-ի տարածման կանխումը:
Այդ նպատակով գործակալությունը ենթակառուցվածքի սեփականատերերին խորհուրդ է տալիս միջոցներ ձեռնարկել՝ boot-ի ամբողջականությունը վերահսկելու համար:
Այս պրոցեսն իրականացվում է՝ կիրառելով Windows-ի Baton Drop (CVE-2022-21894, միավորը՝ 4.4) հայտնի խոցելիությունը, որը հայտնաբերվել է խոցելի boot loader-երում, որոնք չեն ավելացվել «Secure Boot DBX»-ի ցանկում:
Այս խոցելիությունը հեշտությամբ կարող է օգտագործվել հաքերի կողմից՝ շտկված boot loader-երը փոխարինելով խոցելի տարբերակներով և BlackLotus-ը գործարկելով վտանգված endpoint-ում:
UEFI bootkits-ը, ինչպիսին է BlackLotus-ը, հաքերին տրամադրում է ամբողջական վերահսկողություն օպերացիոն համակարգի բեռնման ընթացակարգի վրա՝ դրանով իսկ հնարավոր դարձնելով միջամտել անվտանգության մեխանիզմներին:
Բացի Microsoft-ի 2023 թվականի մայիսին ներկայացրած թարմացումներին, որոնք անդրադարձել են BlackLotus-ի կողմից շահագործվող Secure Boot-ի շրջանցման երկրորդ խոցելիությանը (CVE-2023-24932, միավորը՝ 6.7), կազմակերպություններին խորհուրդ է տրվում իրականացնել հետևյալ քայլերը՝
– Թարմացնել recovery media-ն
– Կոնֆիգուրացնելլ պաշտպանական ծրագրերը
– Մոնիտորինգ աենլ սարքի ամբողջականությունը և EFI boot partition-ը
– Անհատականացնել UEFI Secure Boot-ը՝ Windows-ի հին loader-երն արգելափակելու համար
– Սարքից հեռացնելով Microsoft Windows Production CA 2011-ի վկայագիրը:
Microsoft-ն իր հերթին փուլային մոտեցում է ցուցաբերում հարձակման վեկտորն ամբողջությամբ փակելու համար։ Ակնկալվում է, որ շտկումներն ընդհանուր առմամբ հասանելի կլինեն 2024 թվականի առաջին եռամսյակում:
Աղբյուրը՝ https://thehackernews.com/
