Selon ESET, même le nouveau Windows 11 avec son système de sécurité UEFI Secure Boot n'est pas à l'abri du kit de démarrage "BlackLotus". Le bootkit est déjà actif dans la nature et est également activement proposé dans les forums de hackers.
Alerte rouge pour les utilisateurs de Windows : les chercheurs d'ESET ont identifié un kit de démarrage capable de contourner les principales fonctionnalités de sécurité d'UEFI Secure Boot, un système de sécurité de Windows. Même un système Windows 11 complètement à jour avec Secure Boot activé ne pose pas de problème pour le programme malveillant.Selon la fonctionnalité du kit de démarrage et ses caractéristiques individuelles, les experts du fabricant européen de sécurité informatique supposent que la menace connu sous le nom de BlackLotus est impliqué. Le kit de démarrage UEFI est vendu 2022 5.000 $ sur les forums de hackers depuis octobre XNUMX.
Également mis à jour Windows 11 pas sûr
"Nous avons reçu les premiers indices de hits dans notre télémétrie fin 2022. Ceux-ci se sont avérés être un composant de BlackLotus - un téléchargeur HTTP. Après une première analyse, nous avons trouvé que six installateurs BlackLotus ont trouvé des modèles de code dans les échantillons. Cela nous a permis d'examiner l'ensemble de la chaîne d'exécution et de voir que nous n'avons pas seulement affaire ici à des logiciels malveillants ordinaires », explique Martin Smolár, le chercheur d'ESET qui a dirigé l'enquête sur le bootkit.
La vulnérabilité est exploitée
BlackLotus exploite une vulnérabilité (CVE-2022-21894) vieille de plus d'un an pour contourner UEFI Secure Boot et s'implanter de façon permanente dans l'ordinateur. Il s'agit du premier exploit connu de cette vulnérabilité dans la nature. Bien que la vulnérabilité ait été corrigée avec la mise à jour Microsoft de janvier 2022, son abus est toujours possible. En effet, les fichiers binaires affectés et signés de manière valide n'ont toujours pas été ajoutés à la liste de blocage UEFI. BlackLotus exploite cela en apportant ses propres copies de binaires légitimes - mais plus vulnérables - sur le système.
Large éventail de possibilités
BlackLotus est capable de désactiver les mécanismes de sécurité du système d'exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, l'objectif principal du malware est d'installer un pilote de noyau (qu'il protège de la suppression, entre autres) et un téléchargeur HTTP. Ce dernier est chargé de communiquer avec le serveur de commande et de contrôle et peut charger des charges utiles supplémentaires pour le mode utilisateur ou le mode noyau. Fait intéressant, certains programmes d'installation de BlackLotus ne procèdent pas à l'installation du bootkit si la machine compromise utilise des paramètres régionaux d'Arménie, de Biélorussie, du Kazakhstan, de Moldavie, de Russie ou d'Ukraine.
BlackLotus est promu et vendu sur des forums clandestins depuis au moins début octobre 2022. "Nous avons la preuve que le kit de démarrage est authentique et que la publicité n'est pas une arnaque", déclare Smolár. "Le petit nombre d'échantillons de BlackLotus que nous avons reçus des deux sources publiques et notre télémétrie nous amènent à soupçonner que peu de pirates ont commencé à l'utiliser pour le moment. Nous craignons que cela ne change rapidement si ce bootkit se retrouvait entre les mains de groupes de logiciels criminels. Parce qu'il est facile à distribuer et peut être propagé par ces groupes via des botnets, par exemple.
Qu'est-ce qu'un kit de démarrage ?
Les bootkits UEFI sont des menaces très puissantes pour n'importe quel ordinateur. Une fois qu'ils ont obtenu le contrôle total du processus de démarrage du système d'exploitation, ils peuvent désactiver divers mécanismes de sécurité du système d'exploitation et injecter leurs propres programmes malveillants en mode noyau ou utilisateur dans les premières étapes du démarrage. En conséquence, ils opèrent en secret et avec des privilèges élevés. À ce jour, seuls quelques kits de démarrage ont été découverts dans la nature et décrits publiquement. Par rapport aux implants de micrologiciels - comme LoJax, le premier implant de micrologiciel UEFI dans la nature et découvert par ESET en 2018 - les bootkits UEFI peuvent perdre leur discrétion car les bootkits résident sur une partition de disque dur FAT32 facilement accessible. Cependant, lorsqu'ils sont exécutés en tant que chargeur de démarrage, ils ont presque les mêmes capacités sans avoir à surmonter plusieurs couches de sécurité qui protègent contre les implantations de micrologiciels. « Le meilleur conseil est de maintenir le système et sa solution de sécurité à jour. Cela augmente les chances qu'une menace potentielle soit arrêtée tôt, avant qu'elle ne s'infiltre dans le système d'exploitation », conclut Smolár.
Qu'est-ce que l'UEFI ?
UEFI signifie "Unified Extensible Firmware Interface" et décrit le firmware de la carte mère. Cela forme à son tour l'interface entre le matériel et le logiciel pendant le processus de démarrage. Une fonction essentielle de l'UEFI est que l'ordinateur peut démarrer en Secure Boot. Ceci afin d'empêcher les logiciels malveillants de pénétrer dans l'appareil. C'est pourquoi contourner cette fonction de sécurité est si dangereux.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.