NSA Bagikan Tips Blokir Serangan Malware BlackLotus UEFI
Cyberthreat.id - Badan Keamanan Nasional AS (NSA), hari ini, merilis panduan tentang cara bertahan dari serangan malware bootkit BlackLotus UEFI.
“BlackLotus telah beredar di forum peretasan sejak Oktober 2022, dipasarkan sebagai malware yang mampu menghindari deteksi, menahan upaya penghapusan, dan menetralkan beberapa fitur keamanan Windows seperti Defender, HVCI, dan BitLocker,” tulis BleepingComputer.
Pada Mei, Microsoft merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day (CVE-2023-24932) yang digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Secure Boot yang awalnya disalahgunakan dalam serangan BlackLotus tahun lalu.
Namun, perbaikan CVE-2023-24932 dinonaktifkan secara default dan tidak akan menghapus vektor serangan yang dieksploitasi untuk menyebarkan BlackLotus.
Untuk mengamankan perangkat Windows, admin harus menjalani prosedur manual yang memerlukan beberapa langkah "untuk memperbarui media yang dapat di-boot dan menerapkan pencabutan sebelum mengaktifkan pembaruan ini".
"BlackLotus sangat dapat dihentikan pada titik akhir Windows yang diperbarui sepenuhnya, perangkat yang disesuaikan dengan Boot Aman, atau titik akhir Linux. Microsoft telah merilis tambalan dan terus memperkuat mitigasi terhadap BlackLotus dan Baton Drop," kata NSA.
"Komunitas Linux dapat menghapus sertifikat Microsoft Windows Production CA 2011 pada perangkat yang secara eksklusif mem-boot Linux. Opsi mitigasi yang tersedia saat ini akan diperkuat dengan perubahan pada sertifikat Boot Aman vendor di masa mendatang (beberapa sertifikat akan kedaluwarsa mulai tahun 2026)."
Zachary Blum, Analis Keamanan Platform NSA, menyarankan administrator sistem dan pembela jaringan hari ini untuk juga menerapkan tindakan pengerasan pada sistem yang ditambal terhadap kerentanan ini.
"NSA merekomendasikan administrator sistem dalam DoD dan jaringan lain untuk mengambil tindakan. BlackLotus bukan ancaman firmware, melainkan menargetkan tahap awal boot perangkat lunak," kata NSA.
"Solusi perangkat lunak defensif dapat dikonfigurasi untuk mendeteksi dan mencegah penginstalan muatan BlackLotus atau acara reboot yang memulai eksekusi dan implantasi. NSA percaya bahwa tambalan yang diterbitkan saat ini dapat memberikan rasa aman yang salah untuk beberapa infrastruktur."
Badan intelijen AS merekomendasikan langkah-langkah berikut sebagai mitigasi tambahan:
- Terapkan pembaruan keamanan terbaru, perbarui media pemulihan, dan aktifkan mitigasi opsional
- Perkuat kebijakan defensif dengan mengonfigurasi perangkat lunak keamanan titik akhir untuk memblokir upaya penginstalan malware BlackLotus
- Gunakan produk keamanan titik akhir dan alat pemantauan firmware untuk memantau pengukuran integritas perangkat dan konfigurasi booting
- Sesuaikan UEFI Secure Boot untuk memblokir yang lebih lama (sebelum Januari 2022), pemuat boot Windows yang ditandatangani
BlackLotus telah digunakan dalam serangan yang menargetkan Windows 10 dan 11 untuk mengeksploitasi kerentanan (disebut sebagai Baton Drop dan dilacak sebagai CVE-2022-21894) yang ditemukan di boot loader lama (alias boot manager) yang membantu melewati perlindungan Boot Aman dan memicu serangkaian tindakan jahat yang dirancang untuk membahayakan keamanan sistem.
Dengan memanfaatkan CVE-2022-21894, penyerang menghapus kebijakan Boot Aman, mencegah penerapannya (pemuat boot yang terpengaruh oleh kerentanan ini belum dimasukkan dalam daftar pencabutan DBX Boot Aman).
"Namun, tambalan tidak dikeluarkan untuk mencabut kepercayaan pada boot loader yang belum ditambal melalui Secure Boot Deny List Database (DBX). Administrator tidak boleh mempertimbangkan ancaman sepenuhnya diperbaiki karena boot loader yang rentan terhadap Baton Drop masih dipercaya oleh Secure Boot," NSA dikatakan.
Akibatnya, penyerang dapat mengganti boot loader yang telah ditambal sepenuhnya dengan versi yang rentan, yang memungkinkan mereka menginstal dan menjalankan malware di perangkat yang disusupi.
Selama proses instalasi BlackLotus, biner Extensible Firmware Interface (EFI) yang lebih lama dari pemuat boot Windows disebarkan ke partisi boot. Selanjutnya, perlindungan BitLocker dan Memory Integrity dinonaktifkan tepat sebelum perangkat dihidupkan ulang untuk memulai dan menanamkan malware.
"Melindungi sistem terhadap BlackLotus bukanlah perbaikan sederhana. Patching adalah langkah awal yang baik, tetapi kami juga merekomendasikan tindakan pengerasan, bergantung pada konfigurasi sistem Anda dan perangkat lunak keamanan yang digunakan," kata Blum.[]