Ինչպե ՞ս պաշտպանվել BlackLotus Bootkit-ից

Ինչպե ՞ս պաշտպանվել BlackLotus Bootkit-ից

ԱՄՆ Ազգային անվտանգության գործակալությունը (NSA) հինգշաբթի օրը նոր ուղեցույց հրապարակեց, որի նպատակն է ընկերությունների հայտնաբերումն ու BlackLotus կոչվող Unified Extensible Firmware Interface (UEFI) bootkit-ի տարածման կանխումը:

Այդ նպատակով գործակալությունը ենթակառուցվածքի սեփականատերերին խորհուրդ է տալիս միջոցներ ձեռնարկել՝ boot-ի ամբողջականությունը վերահսկելու համար:

Այս պրոցեսն իրականացվում է՝ կիրառելով Windows-ի Baton Drop (CVE-2022-21894, միավորը՝ 4.4) հայտնի խոցելիությունը, որը հայտնաբերվել է խոցելի boot loader-երում, որոնք չեն ավելացվել «Secure Boot DBX»-ի ցանկում:

Այս խոցելիությունը հեշտությամբ կարող է օգտագործվել հաքերի կողմից՝ շտկված boot loader-երը փոխարինելով խոցելի տարբերակներով և BlackLotus-ը գործարկելով վտանգված endpoint-ում:

UEFI bootkits-ը, ինչպիսին է BlackLotus-ը, հաքերին տրամադրում է ամբողջական վերահսկողություն օպերացիոն համակարգի բեռնման ընթացակարգի վրա՝ դրանով իսկ հնարավոր դարձնելով միջամտել անվտանգության մեխանիզմներին:

Բացի Microsoft-ի 2023 թվականի մայիսին ներկայացրած թարմացումներին, որոնք անդրադարձել են BlackLotus-ի կողմից շահագործվող Secure Boot-ի շրջանցման երկրորդ խոցելիությանը (CVE-2023-24932, միավորը՝ 6.7), կազմակերպություններին խորհուրդ է տրվում իրականացնել հետևյալ քայլերը՝

– Թարմացնել recovery media-ն

– Կոնֆիգուրացնելլ պաշտպանական ծրագրերը

– Մոնիտորինգ աենլ սարքի ամբողջականությունը և EFI boot partition-ը

Անհատականացնել UEFI Secure Boot-ը՝ Windows-ի հին loader-երն արգելափակելու համար

– Սարքից հեռացնելով Microsoft Windows Production CA 2011-ի վկայագիրը:

Microsoft-ն իր հերթին փուլային մոտեցում է ցուցաբերում հարձակման վեկտորն ամբողջությամբ փակելու համար։ Ակնկալվում է, որ շտկումներն ընդհանուր առմամբ հասանելի կլինեն 2024 թվականի առաջին եռամսյակում:

 

Աղբյուրը՝  https://thehackernews.com/