Η Microsoft κυκλοφόρησε ένα patch, πριν λίγες ημέρες, για να διορθώσει ένα Secure Boot bypass bug που χρησιμοποιείται από το bootkit BlackLotus. Η αρχική ευπάθεια, CVE-2022-21894, είχε επιδιορθωθεί τον Ιανουάριο, αλλά η νέα επιδιόρθωση για το CVE-2023-24932 λύνει ένα άλλο ενεργά εκμεταλλευόμενο exploit για συστήματα που τρέχουν Windows 10, 11, και εκδόσεις Windows Server από τα Windows Server 2008 και μετά.

Το bootkit BlackLotus είναι το πρώτο γνωστό κακόβουλο λογισμικό που μπορεί να παρακάμψει το Secure Boot, επιτρέποντας την εκτέλεση κακόβουλου κώδικα πριν ο υπολογιστής αρχίσει να φορτώνει τα Windows και τις πολλές προστασίες ασφαλείας που διαθέτουν. Το Secure Boot είναι ενεργοποιημένο από προεπιλογή για πάνω από μια δεκαετία στους περισσότερους υπολογιστές με Windows που πωλούνται από εταιρείες όπως η Dell, η Lenovo, η HP, η Acer, και άλλες. Επιπλέον, οι υπολογιστές που εκτελούν Windows 11 πρέπει να το έχουν ενεργοποιημένο για να πληρούν τις απαιτήσεις συστήματος του λειτουργικού.

Η Microsoft αναφέρει ότι η ευπάθεια μπορεί να αξιοποιηθεί από έναν εισβολέα που έχει είτε φυσική πρόσβαση σε ένα σύστημα, είτε δικαιώματα διαχειριστή σε ένα σύστημα. Μπορεί να επηρεάσει φυσικούς υπολογιστές και εικονικές μηχανές με ενεργοποιημένο το Secure Boot.

Σε αντίθεση με πολλά υψηλής προτεραιότητας fix των Windows, το νέο fix θα είναι απενεργοποιημένο από προεπιλογή για κάποιους μήνες μετά την εγκατάστασή του. Αυτό οφείλεται εν μέρει στο ότι τελικά θα καταστήσει τα τρέχοντα μέσα εκκίνησης των Windows unbootable. Το fix απαιτεί αλλαγές στον διαχειριστή εκκίνησης των Windows, οι οποίες δεν μπορούν να αντιστραφούν.

Σε ένα από τα πολλά άρθρα υποστήριξης της Microsoft σχετικά με την ενημέρωση αναφέρεται ότι η λειτουργία Secure Boot ελέγχει με ακρίβεια τα μέσα εκκίνησης που επιτρέπεται να φορτωθούν κατά την εκκίνηση ενός λειτουργικού συστήματος. Αν αυτό το fix δεν ενεργοποιηθεί σωστά, υπάρχει πιθανότητα να προκληθεί βλάβη που θα εμποδίσει την εκκίνηση ενός συστήματος.

Επιπλέον, μόλις ενεργοποιηθεί το fix, ο υπολογιστής δεν θα μπορεί πλέον να εκκινεί από παλαιότερα μέσα εκκίνησης που δεν to περιλαμβάνουν. Η μακροσκελής λίστα των επηρεαζόμενων μέσων περιέχει: μέσα (DVD, στικάκια, και άλλα) που έχουν δημιουργηθεί με ISO από τη Microsoft, Windows που συντηρούνται από IT, πλήρη αντίγραφα ασφαλείας συστήματος, μονάδες εκκίνησης δικτύου, stripped-down μονάδες εκκίνησης που χρησιμοποιούν Windows PE, και τα recovery media που δίνουν οι OEM με τα PC που πουλάνε.

Η Microsoft, μη θέλοντας να καταστήσει ξαφνικά τα συστήματα των χρηστών unbootable, θα διαθέσει την ενημέρωση σταδιακά μέσα στους επόμενους μήνες. Η αρχική έκδοση απαιτεί σημαντική παρέμβαση του χρήστη για να ενεργοποιηθεί, πρέπει πρώτα ο χρήστης να εγκαταστήσει τις ενημερώσεις ασφαλείας του Μαΐου και στη συνέχεια να χρησιμοποιήσει μια διαδικασία πέντε βημάτων για να εφαρμόσει και να επαληθεύσει χειροκίνητα ένα ζεύγος αρχείων ανάκλησης που ενημερώνουν το κρυφό EFI boot partition του συστήματός και το μητρώο. Όλα αυτά γίνονται ώστε οι παλαιότερες, ευάλωτες εκδόσεις του bootloader να μην θεωρούνται πλέον αξιόπιστες.

Μια δεύτερη ενημέρωση θα γίνει τον Ιούλιο. Ούτε αυτή θα ενεργοποιεί το fix, αλλά θα διευκολύνει την ενεργοποίησή του από τον χρήστη. Το πρώτο τρίμηνο του 2024 θα κυκλοφορήσει μία τρίτη ενημέρωση που θα ενεργοποιήσει το fix αυτόματα και θα καταστήσει τα παλαιότερα μέσα εκκίνησης unbootable σε όλους τους υπολογιστές με Windows που έχουν λάβει το fix. Η Microsoft λέει ότι αναζητά ευκαιρίες για την επιτάχυνση αυτού του χρονοδιαγράμματος, αν και δεν είναι σαφές τι θα συνεπαγόταν αυτό.

Ο Jean-Ian Boutin, διευθυντής έρευνας απειλών της ESET, περιέγραψε τη σοβαρότητα του BlackLotus και άλλων bootkits. Σύμφωνα με τον Boutin, το UEFI bootkit BlackLotus είναι σε θέση να εγκατασταθεί σε ενημερωμένα συστήματα που χρησιμοποιούν την τελευταία έκδοση των Windows με ενεργοποιημένη την ασφαλή εκκίνηση, άρα σίγουρα όλα τα συστήματα με Windows 11.

Παρόλο που η ευπάθεια είναι παλιά, εξακολουθεί να είναι δυνατή η αξιοποίησή της για την παράκαμψη όλων των μέτρων ασφαλείας, θέτοντας σε κίνδυνο τη διαδικασία εκκίνησης ενός συστήματος και δίνοντας στον επιτιθέμενο τον έλεγχο της πρώιμης φάσης της εκκίνησης του συστήματος. Επίσης, αποκαλύπτει ότι οι επιτιθέμενοι εστιάζουν στο EFI System Partition (ESP) σε αντίθεση με το υλικολογισμικό, θυσιάζοντας τη μυστικότητα για ευκολότερο deployment. Σε κάθε περίπτωση, αυτό τους προσφέρει παρόμοιο επίπεδο δυνατοτήτων.

Αυτή η επιδιόρθωση δεν είναι το μόνο πρόσφατο περιστατικό ασφαλείας που αναδεικνύει τις δυσκολίες επιδιόρθωσης των ευπαθειών χαμηλού επιπέδου Secure Boot και UEFI. Τα κλειδιά υπογραφής της MSI, κατασκευαστή υπολογιστών και μητρικών πλακετών, διέρρευσαν πρόσφατα σε μια επίθεση ransomware και δεν υπάρχει απλός τρόπος να πει η εταιρεία στα προϊόντα της να μην εμπιστεύονται τις ενημερώσεις υλικολογισμικού που έχουν υπογραφεί με το παραβιασμένο κλειδί.

Πηγή: https://techmaniacs.gr/
(Κώστας Παπαζαχαρίου, αναδημοσίευση 19/5/2023)