Postřehy z bezpečnosti: BlackLotus je UEFI bootkit obcházející Secure Boot

ESET: UEFI bootkit realitou

Martin Smolár ze společnosti ESET zveřejnil analýzu malware známého jako BlackLotus. Tento malware je schopný fungovat i na plně aktualizovaném systému s Windows 11 a je k dispozici na prodej na různých fórech za 5000 dolarů. UEFI bootkity (jako třeba BlackLotus) mají schopnost spustit se již při startu počítače, což velmi znesnadňuje jejich detekci a navíc mají nejvyšší dostupná oprávnění. Tím jsou mimo jiné schopné zabránit vlastnímu vymazání. Zajímavostí je například i to, že malware neinfikuje počítače ve vybraných zemích (podle locales). Nejzajímavější z nich jsou asi Rusko a Ukrajina.

BlackLotus zneužívá zranitelnosti Baton drop (CVE-2022–21894), díky které obejde Secure Boot. Následně přidá vlastní MOK do MokListu. To znamená, že přidá vlastní certifikační autoritu na seznam důvěryhodných certifikačních autorit pro Secure Boot. To mu umožní načíst vlastní ovladač do jádra operačního systému. Tento ovladač pak vloží a spustí vlastní HTTP dowloader do kontextu procesu winlogon.exe. Díky tomu získá běžící userspace komponentu s právy SYSTEM. Tato komponenta se pak stará o komunikaci s řídicími servery a provádění zadaných příkazů. Malware je dále schopný vypnout Windows Defender a komunikuje s C&C přes HTTPS.

Internet Explorer ještě žije

I když tento letitý webový prohlížeč odešel do důchodu v polovině června 2022, stále mu útočníci věnují svou pozornost. RIG Exploit Kit, který ke konci roku 2022 obnovil činnost, zařadil do svého arzenálu exploity dvou zranitelností IE (CVE-2021–26411 a CVE-2020–0674), a vyzdvihl tím úspěšnost exploitace na historickou úroveň 30 % z provedených útoků (analýza).

Je ale možné, že to byla jeho labutí píseň – v polovině února 2023 začal Microsoft ve většině verzí Windows 10 starý prohlížeč vypínat (přes­měrovává na Edge, stejně jako ve Windows 11). Stále však zůstává např. ve Windows 7 ESU, Windows 8.1, Windows 10 LTSC a Windows Server.

Zranitelnosti IP telefonů

Společnost CISCO vydala záplaty IP telefonů sérií 6800, 7800, 7900 a 8800. Několik zranitelností webového rozhraní pro správu zařízení umožňovalo nepřihlášenému, vzdálenému útočníkovi provést spuštění libovolného kódu nebo způsobit nedostupnost zařízení (DoS).

Konkrétně se jedná o zranitelnosti CVE-2023–20078: Cisco IP Phone 6800, 7800 and 8800 Series Command Injection Vulnerability a CVE-2023–20079: Cisco IP Phone 6800, 7800, 7900, and 8800 Series Denial of Service Vulnerability.

Booking opravoval implementaci přihlašování

Několik bezpečnostních chyb, spojených s přihlašováním pomocí autentizační služby Open Authorization (OAuth), bylo objeveno u služby cestovní kanceláře Booking.com. Chyba byla způsobena špatnou implementací přihlašovací funkce. V případě, že se uživatel chtěl přihlásit pomocí facebookového účtu, hrozilo, že dojde k převzetí uživatelské relace útočníkem, který tak mohl získat plný přístup k účtu uživatele.

Po zjištění chyby bezpečnostním expertem Aviadem Carmelem byla chybná konfigurace oznámena společnosti booking.com, která již zranitelnosti záplatovala. Dle vyjádření Salt labs chyba nebyla nikým zneužita.

TikTok ve smršti zákazů

Kvůli bezpečnostním obavám Evropská komise zakázala používání populární aplikace TikTok všem svým zaměstnancům používajícím pracovní telefony. Zákaz se týká i soukromých zařízení, která jsou využívána pro pracovní účely. Aplikace TikTok, která je vyvíjena čínskou firmou ByteDance, má po světě přes miliardu aktivních uživatelů.

Před časem se však TikTok dostal i pod drobnohled v USA pro údajné napojení firmy ByteDance na čínskou vládu a využívání dat z aplikace pro účely čínské zpravodajské služby. Vláda Spojených států se tak rozhodla zakázat používání aplikace na všech vládních zařízeních. Poslední v řadě vládních zákazů používání TikToku je pak Kanada.

Dekryptor ransomwaru MortalKombat

MortalKombat vychází z ransomwaru Xorist a šíří se pomocí phishingových e-mailů, nebo z Internetu dostupných instancí RDP. Po spuštění ransomvare šifruje data na disku a vytváří soubory s koncovkou ..Remember_you_got_only₂₄_hou­rs_to_make_the_payment_if_
you_dont_pay_prize_will_tri­ple_Mortal_Kombat_Ransomwa­re. Také změní obrázek pracovní plochy. Velmi podrobný popis malware lze nalézt v blogu Cisco Talos a univerzální dekryptor je dostupný na stránkách společnosti Bitdefender.

Royal Ransomware rozšiřuje útoky na servery ESXi

V roce 2022 došlo k dvoucifernému meziročnímu nárůstu útoků na linuxové servery. Konkrétně se jedná o servery ESXi, které využívají podniky pro virtualizaci serverů. V září roku 2022 byl detekován Royal Ransomware, který se rychle dostal na úroveň LockBit a BlackCat a tvoří více než 10 % ransomwarových útoků.

Royal Ransomware se zaměřuje na malé a střední podniky, ty tvoří téměř 90 % jeho obětí. Předmět činnosti napadených organizací se liší, jedná se o IT, finance, zdravotnictví, potravinářský průmysl a další.

Výroční zpráva o stavu malwaru

Dle výroční zprávy společnosti Malwarebytes [PDF] bylo v roce 2022 nějakým způsobem zasaženo ransomwarem 71 % organizací. Na konci roku bylo známo více než 22 500 nových zranitelností a nejpoužívanějším škodlivým kódem byl LockBit, který představoval téměř třetinu všech známých útoků. Autoři zprávy popsali, jak se proti LockBitu bránit a čtyři další hlavní hrozby, na které by se měly organizace připravit.

V reportu jsou uvedeny i další zajímavé informace, které popisují například z jakého důvodu došlo k 300 % nárůstu nových způsobů šíření malware, jak zachytit útoky, které nespoléhají na malware nebo proč jsou lidé zajišťující kybernetickou bezpečnost v organizaci stejně důležití jako bezpečnostní software.

Ve zkratce

• CISA Red Team se podělil o hlavní poznatky z nedávného testu velké organizace provozující kritickou infrastrukturu
• Pokračující sofistikované útoky na ekosystém opensource
• Nizozemská policie zatkla tři muže pro podezření ze šíření ransomware
• Nová data Federální obchodní komise ukazují, že spotřebitelé kvůli scamu přišli v roce 2022 téměř o 8.8 miliard dolarů
• Americká Národní bezpečnostní agentura sdílela základní doporučení pro ochranu domácích sítí

Pro pobavení

Autor: Mark Parisi

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…