NSA lança guia para mitigar ações do BlackLotus Bootkit

Da Redação
28/06/2023

A Agência de Segurança Nacional (NSA) dos EUA lançou um guia de mitigação abrangente para lidar com o malware BlackLotus. De acordo com o documento, o BlackLotus explora uma falha do gerenciador de inicialização, conhecida como Baton Drop (CVE-2022-21894), para assumir o controle dos endpoints durante a fase inicial da inicialização do software. Ele tem semelhanças com o malware BootHole de 2020.

Embora a Microsoft tenha emitido patches para corrigir a falha do gerenciador de inicialização, a NSA disse que a gigante da tecnologia não revogou a confiança em carregadores de inicialização não corrigidos por meio do Secure Boot Deny List Database (DBX). Isso significa que os carregadores de boot vulneráveis ao Baton Drop ainda são tidos como confiáveis pelo Secure Boot, fazendo com que a ameaça persista mesmo após o patch.

Para contornar esses problemas, a agência recomendou várias ações de mitigação para proprietários de infraestrutura. Isso inclui fortalecer as políticas executáveis do usuário, monitorar a integridade da partição de inicialização, atualizar a mídia de recuperação e habilitar atenuações opcionais de software.

Veja isso
Bootkit BlackLotus ignora a inicialização segura do Windows 11
Novo trojan BlackParty tem o Brasil como alvo principal

As diretrizes da NSA também afirmam que é essencial que os administradores de sistema estejam vigilantes, pois o BlackLotus não é uma ameaça de firmware, mas visa o estágio inicial do processo de inicialização. Além disso, disse que, embora os patches publicados possam fornecer algum nível de segurança, os administradores do sistema não devem descansar com uma falsa sensação de segurança e os aconselhou a implementar as medidas de mitigação recomendadas.

Para obter mais informações e instruções detalhadas, os administradores podem consultar o BlackLotus Mitigation Guide da NSA e consultar os recursos fornecidos pela Microsoft e por pesquisadores de segurança.A agência conclui dizendo que é crucial que as organizações tomem medidas imediatas para proteger sua infraestrutura do malware BlackLotus e garantir a segurança de seus endpoints.

Compartilhar: