De acordo com a ESET, mesmo o novo Windows 11 com seu sistema de segurança UEFI Secure Boot não está protegido contra o kit de inicialização "BlackLotus". O bootkit já está ativo na natureza e também é oferecido ativamente em fóruns de hackers.
Alerta vermelho para usuários do Windows: os pesquisadores da ESET identificaram um bootkit capaz de contornar os principais recursos de segurança do UEFI Secure Boot - um sistema de segurança no Windows. Mesmo um sistema Windows 11 totalmente atualizado com inicialização segura ativada não representa um problema para o programa malicioso. Com base na funcionalidade do kit de inicialização e em suas características individuais, os especialistas do fabricante europeu de segurança de TI assumem que a ameaça conhecido como BlackLotus está envolvido. O kit de inicialização UEFI é vendido por US$ 2022 em fóruns de hackers desde outubro de 5.000.
Também atualizou o Windows 11, não tenho certeza
“Recebemos as primeiras pistas de acertos em nossa telemetria no final de 2022. Estes acabaram sendo um componente do BlackLotus – um downloader HTTP. Após uma análise inicial, descobrimos que seis instaladores do BlackLotus encontraram padrões de código nas amostras. Isso nos permitiu examinar toda a cadeia de execução e ver que não estamos lidando apenas com malware comum aqui”, diz Martin Smolár, o pesquisador da ESET que liderou a investigação do bootkit.
A vulnerabilidade é explorada
O BlackLotus explora uma vulnerabilidade (CVE-2022-21894) com mais de um ano para contornar o UEFI Secure Boot e implantar-se permanentemente no computador. Esta é a primeira exploração conhecida desta vulnerabilidade na natureza. Embora a vulnerabilidade tenha sido corrigida com a atualização de janeiro de 2022 da Microsoft, seu abuso ainda é possível. Isso ocorre porque os binários afetados e assinados validamente ainda não foram adicionados à lista de bloqueio UEFI. O BlackLotus explora isso trazendo suas próprias cópias de binários legítimos - mas mais vulneráveis - para o sistema.
Ampla gama de possibilidades
O BlackLotus é capaz de desabilitar os mecanismos de segurança do sistema operacional, como BitLocker, HVCI e Windows Defender. Uma vez instalado, o principal objetivo do malware é instalar um driver de kernel (que protege contra remoção, entre outras coisas) e um downloader HTTP. O último é responsável pela comunicação com o servidor de comando e controle e pode carregar cargas adicionais para o modo de usuário ou modo de kernel. Curiosamente, alguns instaladores do BlackLotus não continuam com a instalação do bootkit se a máquina comprometida usa locais da Armênia, Bielorrússia, Cazaquistão, Moldávia, Rússia ou Ucrânia.
O BlackLotus foi promovido e vendido em fóruns clandestinos desde pelo menos o início de outubro de 2022. "Temos evidências de que o kit de inicialização é genuíno e que o anúncio não é uma farsa", diz Smolár. "O pequeno número de amostras do BlackLotus que recebemos de fontes públicas e nossa telemetria nos leva a suspeitar que poucos hackers começaram a usá-lo ainda. Tememos que isso mude rapidamente caso esse bootkit chegue às mãos de grupos de crimeware. Porque é fácil de distribuir e pode ser espalhado por esses grupos via botnets, por exemplo.”
O que é um kit de inicialização?
Os bootkits UEFI são ameaças muito poderosas para qualquer computador. Depois de obter controle total sobre o processo de inicialização do sistema operacional, eles podem desabilitar vários mecanismos de segurança do sistema operacional e injetar seus próprios programas maliciosos no kernel ou no modo de usuário nos estágios iniciais da inicialização. Como resultado, eles operam em segredo e com altos privilégios. Até o momento, apenas alguns kits de inicialização foram descobertos na natureza e descritos publicamente. Em comparação com os implantes de firmware — como o LoJax, o primeiro implante de firmware UEFI na natureza e descoberto pela ESET em 2018 — os bootkits UEFI podem perder sua discrição, pois os bootkits residem em uma partição de disco rígido FAT32 facilmente acessível. No entanto, quando executados como um bootloader, eles têm quase os mesmos recursos sem ter que superar várias camadas de segurança que protegem contra implantes de firmware. “A melhor dica é manter o sistema e sua solução de segurança atualizados. Isso aumenta a chance de uma possível ameaça ser interrompida logo no início, antes de se infiltrar no sistema operacional”, conclui Smolár.
O que é UEFI?
UEFI significa "Unified Extensible Firmware Interface" e descreve o firmware da placa-mãe. Isso, por sua vez, forma a interface entre o hardware e o software durante o processo de inicialização. Uma função essencial do UEFI é que o computador pode inicializar no Secure Boot. Isso evita que malwares entrem no dispositivo. É por isso que ignorar esse recurso de segurança é tão perigoso.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.