Redazione RHC : 28 Novembre 2024 07:42
I ricercatori di sicurezza informatica hanno segnalato la creazione di un bootkit UEFI unico nel suo genere per i sistemi Linux. Lo strumento, chiamato Bootkitty, è considerato un proof-of-concept (PoC) e, secondo gli esperti, non è stato ancora utilizzato in attacchi reali. Il bootkit è noto anche come IranuKit ed è stato caricato per la prima volta sulla piattaforma VirusTotal il 5 novembre 2024.
Il compito principale di Bootkitty è disabilitare la funzione di verifica della firma del kernel Linux e precaricare due file ELF tramite il processo init, che viene avviato per primo all’avvio del sistema. Secondo gli esperti di ESET, la funzionalità del bootkit rappresenta una seria sfida per la sicurezza informatica.
Questo bootkit utilizza un certificato autofirmato, che ne impedisce l’esecuzione su sistemi con Secure Boot abilitato, a meno che gli aggressori non abbiano precedentemente installato un certificato controllato. Tuttavia, anche se Secure Boot è abilitato, Bootkitty è in grado di modificare le funzioni di controllo dell’integrità del kernel in memoria prima di avviare il boot loader GRUB.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Pertanto, se Secure Boot è abilitato, Bootkitty si connette a due funzioni dei protocolli di autenticazione UEFI, ignorando i controlli di integrità. Quindi modifica tre funzioni nel bootloader GRUB per consentirgli di aggirare ulteriori controlli di sicurezza. Ciò dimostra la grave vulnerabilità dei sistemi moderni.
L’indagine di ESET ha scoperto un modulo kernel non firmato in bundle che distribuisce un binario ELF BCDropper. Questo file carica un altro modulo del kernel sconosciuto dopo l’avvio del sistema. Le funzioni del modulo includono nascondere file e processi e aprire porte di rete, tipico dei rootkit.
Gli esperti sottolineano che Bootkitty distrugge lo stereotipo secondo cui i bootkit UEFI minacciano solo i sistemi Windows e indica la necessità di prepararsi a nuove minacce. Questa scoperta potrebbe diventare un punto di partenza per ulteriori sviluppi nel campo della protezione delle piattaforme Linux.
Redazione
