ESET Research découvre BlackLotus : un bootkit capable de contourner le Secure Boot UEFI

Date:

  • Les chercheurs d’ESET publient l’analyse de BlackLotus, le premier bootkit UEFI en circulation, capable de contourner une fonctionnalité de sécurité essentielle – UEFI Secure Boot.
  • Ce bootkit UEFI est vendu sur les forums pirates pour 5 000 $ US depuis au moins octobre 2022 et peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.
  • Le bootkit exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner UEFI Secure Boot et établir une persistance pour le bootkit. Il s’agit de la première utilisation connue publiquement de cette vulnérabilité.
  • La vulnérabilité a été corrigée dans la mise à jour de janvier 2022 de Microsoft ; cependant, son exploitation est toujours possible et peut permettre la désactivation des mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender.
  • BlackLotus est facile à déployer et pourrait se propager rapidement s’il était mis entre les mains de groupes de criminels informatiques.
  • Certains des installeurs de BlackLotus analysés par ESET ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise l’un des paramètres régionaux suivants : Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.

Les chercheurs d’ESET publient en exclusivité l‘analyse d’un bootkit UEFI capable de contourner une fonctionnalité de sécurité essentielle – UEFI Secure Boot. Les fonctionnalités du bootkit et ses caractéristiques individuelles font penser à ESET Research qu’il s’agit d’une menace connue sous le nom de BlackLotus, un bootkit UEFI vendu sur les forums de piratage pour 5 000 $ US depuis au moins octobre 2022. Ce bootkit peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.

« Notre enquête a commencé avec quelques détections de ce qui s’est avéré être (avec un niveau de confiance élevé) le composant utilisateur BlackLotus – un téléchargeur HTTP – dans notre télémétrie à la fin de l’année 2022. Après une évaluation initiale, les similitudes de code trouvés dans les échantillons nous ont conduit à la découverte de six installateurs de BlackLotus. Cela nous a permis d’explorer l’ensemble de la chaîne d’exécution et de réaliser que ous n’avions pas ici un simple un malware », déclare Martin Smolár, le chercheur d’ESET qui a dirigé l’enquête sur le bootkit.

Le bootkit exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner le Secure Boot UEFI et mettre en place une persistance pour le bootkit. C’est la première exploitation connue publiquement de cette vulnérabilité. Bien que la vulnérabilité ait été corrigée dans la mise à jour de janvier 2022 de Microsoft, son exploitation est toujours possible car les binaires valides signés et affectés n’ont toujours pas été ajoutés à la liste de révocation UEFI. BlackLotus en profite, en apportant ses propres copies de binaires légitimes – mais vulnérables – au système afin d’exploiter la vulnérabilité.

BlackLotus est capable de désactiver les mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, l’objectif principal du bootkit est de déployer un pilote de noyau (qui, entre autres choses, protège le bootkit contre la suppression) et un téléchargeur HTTP en charge de la communication avec le serveur de commande et de contrôle et capable de mettre en mémoire des charges utiles en mode utilisateur ou en mode noyau. Il est intéressant de noter que certains des installateurs de BlackLotus analysés par ESET ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise des paramètres régionaux provenant d’Arménie, du Bélarus, du Kazakhstan, de Moldavie, de Russie ou d’Ukraine.

BlackLotus a été vendu sur des forums pirates depuis au moins début octobre 2022. « Nous pouvons maintenant présenter des preuves que le bootkit est réel et que l’offre n’est pas simplement une arnaque », déclare Smolár. « Le faible nombre d’échantillons de BlackLotus que nous avons pu obtenir, à la fois à partir de sources publiques et de notre télémétrie, nous conduit à croire que peu d’acteurs de la menace ont commencé à l’utiliser pour le moment. Nous sommes préoccupés par le fait que les choses changeront rapidement si ce bootkit tombe entre les mains de groupes de cybercriminels, compte tenu de la facilité de déploiement du bootkit et des capacités des groupes de criminels informatiques à propager des logiciels malveillants à l’aide de leurs botnets. »

De nombreuses vulnérabilités critiques affectant la sécurité des systèmes UEFI ont été découvertes au cours des dernières années. Malheureusement, en raison de la complexité de l’ensemble de l’écosystème UEFI et des problèmes de chaîne d’approvisionnement connexes, bon nombre de ces vulnérabilités ont laissé les systèmes vulnérables même longtemps après que les vulnérabilités ont été corrigées… ou du moins depuis que nous avons été informés qu’elles avaient été corrigées.

Les bootkits UEFI sont des menaces très puissantes, ayant un contrôle total sur le processus de démarrage du système d’exploitation et étant ainsi capables de désactiver divers mécanismes de sécurité du système d’exploitation et de déployer leurs propres charges utiles de mode noyau ou de mode utilisateur aux premiers stades du démarrage. Cela leur permet d’opérer très discrètement et avec des privilèges élevés. Jusqu’à présent, seulement quelques-uns ont été découverts dans la nature et décrits publiquement. Les bootkits UEFI peuvent perdre en furtivité par rapport aux implants firmware – tels que LoJax, le premier implant firmware UEFI découvert par ESET Research en 2018 – car les bootkits sont situés sur une partition de disque FAT32 facilement accessible. Cependant, en tant que chargeur de démarrage, ils disposent de presque les mêmes capacités, sans avoir à surmonter de multiples couches de fonctionnalités de sécurité protégeant contre les implants firmware.

« Le meilleur conseil, bien sûr, est de maintenir votre système et son produit de sécurité à jour pour augmenter la chance qu’une menace soit arrêtée dès le début, avant qu’elle ne puisse atteindre la persistance pré-OS », conclut Smolár.
Pour plus d’informations techniques sur BlackLotus, ainsi que des conseils de mitigation et de remédiation, consultez l’article de blog « BlackLotus UEFI Bootkit: Myth confirmed » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d’ESET Research.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

ESET renforce sa cybersécurité en s’intégrant à IBM QRadar et Microsoft Sentinel

ESET, acteur majeur de la cybersécurité, annonce une avancée...

L’IA de Samsung Anticipe Vos Besoins avec One UI 7

One UI 7 : la nouvelle interface Galaxy propulsée par l'IA. Personnalisation ultime, sécurité renforcée et une expérience mobile intuitive et immersive.

Xbox triomphe aux Game Awards 2024

Xbox triomphe aux Game Awards 2024 ! Découvrez la 1ère bande-annonce de gameplay de The Outer Worlds 2 (sortie 2025) et les récompenses de Senua’s Saga et Fallout.

OPPO Find X8 Pro : le smartphone officiel de l’UEFA Champions League 2024/25

OPPO et l'UEFA Champions League : une collaboration renforcée pour la saison 2024/25. L'OPPO Find X8 Pro capture les moments clés avec des légendes du football

Qualcomm célèbre le succès de son programme Make in Africa et dévoile les lauréats de l’édition 2024

Qualcomm célèbre l’achèvement de la deuxième année du programme de mentorat Make in Africa et annonce le lauréat de Wireless Reach

Alphabet propulse l’informatique quantique avec Willow

Alphabet s'envole en bourse grâce à sa nouvelle puce quantique Willow. Cette innovation ouvre la voie à une nouvelle ère de calcul et pourrait révolutionner notre quotidien.

ESET et OpenCTI : une alliance stratégique pour une cybersécurité renforcée

Découvrez comment l'intégration des flux de Cyber Threat Intelligence d'ESET dans OpenCTI permet aux entreprises d'améliorer leur détection des menaces, de prendre des décisions éclairées et de renforcer leur sécurité face aux cyberattaques. Bénéficiez d'une protection renforcée grâce à cette solution innovante.

Cybercriminalité en Afrique : Les sanctions frappent fort après l’opération Serengeti

L'Afrique ne laisse plus la cybercriminalité prospérer. Découvrez les sanctions infligées aux attaquants et les résultats de l'opération Serengeti.