Malware UEFI tersembunyi melewati Boot Aman diaktifkan oleh kelemahan Home windows yang tidak dapat ditambal

Para peneliti pada hari Rabu mengumumkan penemuan keamanan siber besar—contoh malware dunia nyata pertama yang diketahui yang dapat membajak proses boot komputer bahkan ketika Safe Boot dan perlindungan lanjutan lainnya diaktifkan dan berjalan pada versi Home windows yang diperbarui sepenuhnya.

Dijuluki BlackLotus, malware inilah yang dikenal sebagai bootkit UEFI. Malware canggih ini membajak UEFI—kependekan dari Unified Extensible Firmware Interface—rantai firmware tingkat rendah dan kompleks yang bertanggung jawab untuk mem-boot hampir setiap komputer fashionable. Sebagai mekanisme yang menjembatani firmware perangkat PC dengan sistem operasinya, UEFI adalah OS tersendiri. Itu terletak di chip penyimpanan flash yang terhubung dengan SPI yang disolder ke motherboard komputer, sehingga sulit untuk diperiksa atau ditambal.

Karena UEFI adalah hal pertama yang dijalankan saat komputer dihidupkan, UEFI memengaruhi OS, aplikasi keamanan, dan semua perangkat lunak lain yang mengikutinya. Ciri-ciri ini menjadikan UEFI tempat yang tepat untuk meluncurkan malware. Ketika berhasil, bootkit UEFI menonaktifkan mekanisme keamanan OS dan memastikan bahwa komputer tetap terinfeksi malware tersembunyi yang berjalan pada mode kernel atau mode pengguna, bahkan setelah sistem operasi diinstal ulang atau arduous drive diganti.

Meskipun menarik bagi pelaku ancaman untuk menginstal malware yang hampir tidak terlihat yang memiliki akses tingkat kernel, ada beberapa rintangan berat yang menghalangi mereka. Salah satunya adalah persyaratan bahwa mereka terlebih dahulu meretas perangkat dan mendapatkan hak sistem administrator, baik dengan mengeksploitasi satu atau lebih kerentanan di OS atau aplikasi atau dengan mengelabui pengguna agar menginstal perangkat lunak trojan. Hanya setelah bilah tinggi ini dihapus, pelaku ancaman dapat mencoba menginstal bootkit.

Hal kedua yang menghalangi serangan UEFI adalah UEFI Safe Boot, standar industri yang menggunakan tanda tangan kriptografi untuk memastikan bahwa setiap perangkat lunak yang digunakan selama pengaktifan dipercaya oleh produsen komputer. Safe Boot dirancang untuk membuat rantai kepercayaan yang akan mencegah penyerang mengganti firmware boot yang dimaksud dengan firmware berbahaya. Jika satu tautan firmware dalam rantai itu tidak dikenali, Boot Aman akan mencegah perangkat memulai.

Sementara para peneliti telah menemukan kerentanan Boot Aman di masa lalu, tidak ada indikasi bahwa pelaku ancaman dapat melewati perlindungan dalam 12 tahun keberadaannya. Sampai sekarang.

Pada hari Rabu, para peneliti di firma keamanan ESET mempresentasikan analisis mendalam tentang bootkit UEFI pertama di dunia yang melewati Boot Aman pada sistem UEFI yang diperbarui sepenuhnya yang menjalankan versi Home windows 10 dan 11 yang diperbarui sepenuhnya. Meskipun tidak ada string atau indikator lain yang secara langsung menunjukkan nama pencipta atau bootkit, peneliti ESET telah menyimpulkan bahwa hampir pasti terkait dengan bootkit, yang dikenal sebagai BlackLotus, yang telah diiklankan di discussion board cybercrime bawah tanah sejak tahun lalu. Harga: $5.000, dan $200 setelahnya untuk pembaruan.

Untuk mengalahkan Safe Boot, bootkit mengeksploitasi CVE-2022-21894, kerentanan di semua versi Home windows yang didukung yang ditambal oleh Microsoft pada Januari 2022. Cacat logika, disebut sebagai Baton Drop oleh peneliti yang menemukannya, dapat dieksploitasi untuk menghapus Amankan fungsi Boot dari urutan boot selama pengaktifan. Penyerang juga dapat menyalahgunakan kelemahan untuk mendapatkan kunci BitLocker, fitur Home windows untuk mengenkripsi arduous drive.

CVE-2022-21894 telah terbukti sangat berharga bagi pencipta BlackLotus. Meskipun Microsoft merilis perangkat lunak baru yang ditambal, binari bertanda tangan yang rentan belum ditambahkan ke daftar pencabutan UEFI yang menandai file boot yang seharusnya tidak lagi dipercaya. Microsoft belum menjelaskan alasannya, tetapi kemungkinan ada hubungannya dengan ratusan bootloader rentan yang masih digunakan hingga saat ini. Jika biner yang ditandatangani itu dicabut, jutaan perangkat tidak akan berfungsi lagi. Akibatnya, perangkat yang diperbarui sepenuhnya tetap rentan karena penyerang dapat dengan mudah mengganti perangkat lunak yang ditambal dengan perangkat lunak lama yang rentan.