NSA が BlackLotus UEFI マルウェア攻撃をブロックするためのヒントを共有

米国家安全保障局 (NSA) は本日、BlackLotus UEFI ブートキット マルウェア攻撃を防御する方法に関するガイダンスを発表しました。

BlackLotus は2022 年 10 月からハッキング フォーラムで出回っており、検出を回避し、削除作業に耐え、Defender、HVCI、BitLocker などの複数の Windows セキュリティ機能を無力化できるマルウェアとして販売されています。

5 月、Microsoft はセキュア ブートのゼロデイ脆弱性 ( CVE-2023-24932 ) に対処するセキュリティ アップデートをリリースしました。この脆弱性は、昨年BlackLotus 攻撃で最初に悪用されたセキュア ブートのバグであるCVE-2022-21894用にリリースされたパッチをバイパスするために使用されました。

ただし、CVE-2023-24932 修正はデフォルトで無効になっており、BlackLotus の展開に悪用された攻撃ベクトルは削除されません。

Windows デバイスを保護するには、管理者は「この更新を有効にする前にブータブル メディアを更新し、取り消しを適用する」という複数の手順を必要とする手動手順を実行する必要があります。

「BlackLotus は、完全に更新された Windows エンドポイント、セキュア ブート用にカスタマイズされたデバイス、または Linux エンドポイント上で非常に停止しやすい。Microsoft はパッチをリリースし、BlackLotus と Baton Drop に対する緩和策を強化し続けている」とNSA は述べた。

「Linux コミュニティは、Linux のみを起動するデバイス上の Microsoft Windows Production CA 2011 証明書を削除する可能性があります。現在利用可能な緩和オプションは、将来のベンダーのセキュア ブート証明書の変更によって強化されるでしょう (一部の証明書は 2026 年に期限切れになります)。」

緩和に関するアドバイス

NSA のプラットフォーム セキュリティ アナリストである Zachary Blum 氏は本日、システム管理者とネットワーク防御者に対し、この脆弱性に対するパッチが適用されたシステムにも強化措置を講じるようアドバイスしました。

「NSAは、国防総省内のシステム管理者やその他のネットワークが対策を講じることを推奨している。BlackLotusはファームウェアの脅威ではなく、ブートの最も初期のソフトウェア段階をターゲットにしている」とNSA は述べた。

「防御的なソフトウェア ソリューションは、BlackLotus ペイロードのインストールや、その実行と埋め込みを開始する再起動イベントを検出して阻止するように構成できます。NSA は、現在公開されているパッチが一部のインフラストラクチャに誤ったセキュリティを提供する可能性があると考えています。」

本日の勧告の中で、米国情報機関は追加の緩和策として次の措置を推奨しました。

• 最新のセキュリティ更新プログラムを適用し、リカバリ メディアを更新し、オプションの軽減策を有効にします。
• BlackLotus マルウェアのインストール試行をブロックするようにエンドポイント セキュリティ ソフトウェアを構成することで、防御ポリシーを強化します
• エンドポイント セキュリティ製品とファームウェア監視ツールを使用して、デバイスの完全性の測定とブート構成を監視します。
• UEFI セキュア ブートをカスタマイズして、古い (2022 年 1 月より前) の署名付き Windows ブート ローダーをブロックする

BlackLotus は、セキュア ブート保護をバイパスして一連のブート マネージャーをトリガーするのに役立つ古いブート ローダー (別名ブート マネージャー) で見つかった脆弱性 (バトン ドロップと呼ばれ、 CVE-2022-21894として追跡されます) を悪用する Windows 10 および 11 をターゲットとした攻撃に使用されています。システムのセキュリティを侵害するように設計された悪意のあるアクション。

攻撃者は CVE-2022-21894 を利用してセキュア ブート ポリシーを削除し、その適用を阻止します (この脆弱性の影響を受けるブート ローダーはまだセキュア ブート DBX 失効リストに含まれていません)。

「ただし、セキュア ブート拒否リスト データベース (DBX) を介してパッチが適用されていないブート ローダーの信頼を無効にするパッチは発行されていません。バトン ドロップに対して脆弱なブート ローダーは依然としてセキュア ブートによって信頼されているため、管理者は脅威が完全に修復されたと考えるべきではありません。」と NSA は述べています。言った。

その結果、攻撃者は完全にパッチが適用されたブート ローダーを脆弱なバージョンに置き換え、侵害されたデバイスにマルウェアをインストールして実行できるようになります。

BlackLotus のインストール プロセス中に、Windows ブート ローダーの古い Extensible Firmware Interface (EFI) バイナリがブート パーティションに展開されます。次に、マルウェアを開始して埋め込むためにデバイスが再起動される直前に、BitLocker とメモリ整合性保護が無効になります。

「BlackLotus からシステムを保護するのは簡単な解決策ではありません。パッチ適用は良い最初のステップですが、システムの構成や使用するセキュリティ ソフトウェアに応じて、アクションを強化することもお勧めします」と Blum 氏は述べています。