Secondo ESET, anche il nuovo Windows 11 con il suo sistema di sicurezza UEFI Secure Boot non è al sicuro dal kit di avvio "BlackLotus". Il bootkit è già attivo in natura ed è anche attivamente offerto nei forum degli hacker.
Allarme rosso per gli utenti Windows: i ricercatori ESET hanno identificato un bootkit in grado di aggirare le principali funzionalità di sicurezza di UEFI Secure Boot, un sistema di sicurezza in Windows. Anche un sistema Windows 11 completamente aggiornato con Secure Boot attivato non rappresenta un problema per il programma dannoso.In base alla funzionalità del kit di avvio e alle sue caratteristiche individuali, gli esperti del produttore europeo di sicurezza IT presumono che la minaccia conosciuto come BlackLotus è coinvolto. Il kit di avvio UEFI è stato venduto per $ 2022 sui forum degli hacker dall'ottobre 5.000.
Anche aggiornato Windows 11 non sono sicuro
“Abbiamo ricevuto i primi indizi dagli hit nella nostra telemetria alla fine del 2022. Questi si sono rivelati essere un componente di BlackLotus, un downloader HTTP. Dopo un'analisi iniziale, abbiamo trovato sei installatori di BlackLotus che hanno trovato modelli di codice nei campioni. Questo ci ha permesso di esaminare l'intera catena di esecuzione e vedere che qui non abbiamo a che fare solo con malware regolari", afferma Martin Smolár, il ricercatore ESET che ha condotto l'indagine sul bootkit.
La vulnerabilità è sfruttata
BlackLotus sfrutta una vulnerabilità (CVE-2022-21894) che ha più di un anno per aggirare UEFI Secure Boot e impiantarsi permanentemente nel computer. Questo è il primo exploit noto di questa vulnerabilità in natura. Sebbene la vulnerabilità sia stata risolta con l'aggiornamento Microsoft di gennaio 2022, il suo abuso è ancora possibile. Questo perché i file binari interessati e firmati in modo valido non sono stati ancora aggiunti all'elenco dei blocchi UEFI. BlackLotus lo sfrutta portando nel sistema le proprie copie di binari legittimi, ma più vulnerabili.
Ampia gamma di possibilità
BlackLotus è in grado di disabilitare i meccanismi di sicurezza del sistema operativo come BitLocker, HVCI e Windows Defender. Una volta installato, l'obiettivo principale del malware è installare un driver del kernel (che protegge dalla rimozione, tra le altre cose) e un downloader HTTP. Quest'ultimo è responsabile della comunicazione con il server di comando e controllo e può caricare payload aggiuntivi per la modalità utente o la modalità kernel. È interessante notare che alcuni programmi di installazione di BlackLotus non procedono con l'installazione del bootkit se la macchina compromessa utilizza le impostazioni locali di Armenia, Bielorussia, Kazakistan, Moldavia, Russia o Ucraina.
BlackLotus è stato promosso e venduto sui forum clandestini almeno dall'inizio di ottobre 2022. "Abbiamo le prove che il kit di avvio è autentico e che la pubblicità non è una truffa", afferma Smolár. "L'esiguo numero di campioni di BlackLotus che abbiamo ricevuto sia da fonti pubbliche che dalla nostra telemetria ci porta a sospettare che non molti hacker abbiano ancora iniziato a usarlo. Temiamo che questo cambierà rapidamente se questo bootkit dovesse finire nelle mani di gruppi di crimeware. Perché è facile da distribuire e può essere diffuso da questi gruppi, ad esempio tramite botnet”.
Che cos'è un kit di avvio?
I bootkit UEFI sono minacce molto potenti per qualsiasi computer. Una volta ottenuto il pieno controllo del processo di avvio del sistema operativo, possono disabilitare vari meccanismi di sicurezza del sistema operativo e iniettare i propri programmi dannosi in modalità kernel o utente nelle prime fasi dell'avvio. Di conseguenza, operano in segreto e con privilegi elevati. Ad oggi, solo pochi boot kit sono stati scoperti in natura e descritti pubblicamente. Rispetto agli impianti del firmware, come LoJax, il primo impianto del firmware UEFI in circolazione e scoperto da ESET nel 2018, i bootkit UEFI possono perdere la loro invisibilità poiché i bootkit risiedono su una partizione del disco rigido FAT32 facilmente accessibile. Tuttavia, quando vengono eseguiti come bootloader, hanno quasi le stesse capacità senza dover superare più livelli di sicurezza che proteggono dagli impianti del firmware. “Il consiglio migliore è mantenere aggiornati il sistema e la sua soluzione di sicurezza. Ciò aumenta la possibilità che una potenziale minaccia venga fermata in anticipo, prima che si infiltri nel sistema operativo", conclude Smolár.
Che cos'è l'UEFI?
UEFI sta per "Unified Extensible Firmware Interface" e descrive il firmware della scheda madre. Questo a sua volta costituisce l'interfaccia tra hardware e software durante il processo di avvio. Una funzione essenziale dell'UEFI è che il computer può avviarsi in Secure Boot. Questo per impedire al malware di entrare nel dispositivo. Ecco perché bypassare questa funzione di sicurezza è così pericoloso.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.