- Les chercheurs d’ESET publient l’analyse de BlackLotus, le premier bootkit UEFI en circulation, capable de contourner une fonctionnalité de sécurité essentielle – UEFI Secure Boot.
- Ce bootkit UEFI est vendu sur les forums pirates pour 5 000 $ US depuis au moins octobre 2022 et peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.
- Le bootkit exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner UEFI Secure Boot et établir une persistance pour le bootkit. Il s’agit de la première utilisation connue publiquement de cette vulnérabilité.
- La vulnérabilité a été corrigée dans la mise à jour de janvier 2022 de Microsoft ; cependant, son exploitation est toujours possible et peut permettre la désactivation des mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender.
- BlackLotus est facile à déployer et pourrait se propager rapidement s’il était mis entre les mains de groupes de criminels informatiques.
- Certains des installeurs de BlackLotus analysés par ESET ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise l’un des paramètres régionaux suivants : Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.
Les chercheurs d’ESET publient en exclusivité l‘analyse d’un bootkit UEFI capable de contourner une fonctionnalité de sécurité essentielle – UEFI Secure Boot. Les fonctionnalités du bootkit et ses caractéristiques individuelles font penser à ESET Research qu’il s’agit d’une menace connue sous le nom de BlackLotus, un bootkit UEFI vendu sur les forums de piratage pour 5 000 $ US depuis au moins octobre 2022. Ce bootkit peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.
« Notre enquête a commencé avec quelques détections de ce qui s’est avéré être (avec un niveau de confiance élevé) le composant utilisateur BlackLotus – un téléchargeur HTTP – dans notre télémétrie à la fin de l’année 2022. Après une évaluation initiale, les similitudes de code trouvés dans les échantillons nous ont conduit à la découverte de six installateurs de BlackLotus. Cela nous a permis d’explorer l’ensemble de la chaîne d’exécution et de réaliser que ous n’avions pas ici un simple un malware », déclare Martin Smolár, le chercheur d’ESET qui a dirigé l’enquête sur le bootkit.
Le bootkit exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner le Secure Boot UEFI et mettre en place une persistance pour le bootkit. C’est la première exploitation connue publiquement de cette vulnérabilité. Bien que la vulnérabilité ait été corrigée dans la mise à jour de janvier 2022 de Microsoft, son exploitation est toujours possible car les binaires valides signés et affectés n’ont toujours pas été ajoutés à la liste de révocation UEFI. BlackLotus en profite, en apportant ses propres copies de binaires légitimes – mais vulnérables – au système afin d’exploiter la vulnérabilité.
BlackLotus est capable de désactiver les mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, l’objectif principal du bootkit est de déployer un pilote de noyau (qui, entre autres choses, protège le bootkit contre la suppression) et un téléchargeur HTTP en charge de la communication avec le serveur de commande et de contrôle et capable de mettre en mémoire des charges utiles en mode utilisateur ou en mode noyau. Il est intéressant de noter que certains des installateurs de BlackLotus analysés par ESET ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise des paramètres régionaux provenant d’Arménie, du Bélarus, du Kazakhstan, de Moldavie, de Russie ou d’Ukraine.
BlackLotus a été vendu sur des forums pirates depuis au moins début octobre 2022. « Nous pouvons maintenant présenter des preuves que le bootkit est réel et que l’offre n’est pas simplement une arnaque », déclare Smolár. « Le faible nombre d’échantillons de BlackLotus que nous avons pu obtenir, à la fois à partir de sources publiques et de notre télémétrie, nous conduit à croire que peu d’acteurs de la menace ont commencé à l’utiliser pour le moment. Nous sommes préoccupés par le fait que les choses changeront rapidement si ce bootkit tombe entre les mains de groupes de cybercriminels, compte tenu de la facilité de déploiement du bootkit et des capacités des groupes de criminels informatiques à propager des logiciels malveillants à l’aide de leurs botnets. »
De nombreuses vulnérabilités critiques affectant la sécurité des systèmes UEFI ont été découvertes au cours des dernières années. Malheureusement, en raison de la complexité de l’ensemble de l’écosystème UEFI et des problèmes de chaîne d’approvisionnement connexes, bon nombre de ces vulnérabilités ont laissé les systèmes vulnérables même longtemps après que les vulnérabilités ont été corrigées… ou du moins depuis que nous avons été informés qu’elles avaient été corrigées.
Les bootkits UEFI sont des menaces très puissantes, ayant un contrôle total sur le processus de démarrage du système d’exploitation et étant ainsi capables de désactiver divers mécanismes de sécurité du système d’exploitation et de déployer leurs propres charges utiles de mode noyau ou de mode utilisateur aux premiers stades du démarrage. Cela leur permet d’opérer très discrètement et avec des privilèges élevés. Jusqu’à présent, seulement quelques-uns ont été découverts dans la nature et décrits publiquement. Les bootkits UEFI peuvent perdre en furtivité par rapport aux implants firmware – tels que LoJax, le premier implant firmware UEFI découvert par ESET Research en 2018 – car les bootkits sont situés sur une partition de disque FAT32 facilement accessible. Cependant, en tant que chargeur de démarrage, ils disposent de presque les mêmes capacités, sans avoir à surmonter de multiples couches de fonctionnalités de sécurité protégeant contre les implants firmware.
« Le meilleur conseil, bien sûr, est de maintenir votre système et son produit de sécurité à jour pour augmenter la chance qu’une menace soit arrêtée dès le début, avant qu’elle ne puisse atteindre la persistance pré-OS », conclut Smolár.
Pour plus d’informations techniques sur BlackLotus, ainsi que des conseils de mitigation et de remédiation, consultez l’article de blog « BlackLotus UEFI Bootkit: Myth confirmed » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d’ESET Research.