Les chercheurs d’ESET publient en exclusivité l‘analyse d’un bootkit UEFI capable de contourner une fonctionnalité de sécurité essentielle – UEFI Secure Boot.
Un bootkit qui s’exécute sur Windows 11 entièrement à jour
Les fonctionnalités du bootkit et ses caractéristiques individuelles font penser à ESET Research qu’il s’agit d’une menace connue sous le nom de BlackLotus, un bootkit UEFI vendu sur les forums de piratage pour 5 000 $ US depuis au moins octobre 2022. Ce bootkit peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.
« Notre enquête a commencé avec quelques détections de ce qui s’est avéré être (avec un niveau de confiance élevé) le composant utilisateur BlackLotus – un téléchargeur HTTP – dans notre télémétrie à la fin de l’année 2022. Après une évaluation initiale, les similitudes de code trouvés dans les échantillons nous ont conduit à la découverte de six installateurs de BlackLotus. Cela nous a permis d’explorer l’ensemble de la chaîne d’exécution et de réaliser que ous n’avions pas ici un simple un malware », déclare Martin Smolár, le chercheur d’ESET qui a dirigé l’enquête sur le bootkit.
Une vulnérabilité datant de plus d’un an
Le bootkit exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner le Secure Boot UEFI et mettre en place une persistance pour le bootkit. C’est la première exploitation connue publiquement de cette vulnérabilité. Bien que la vulnérabilité ait été corrigée dans la mise à jour de janvier 2022 de Microsoft, son exploitation est toujours possible car les binaires valides signés et affectés n’ont toujours pas été ajoutés à la liste de révocation UEFI. BlackLotus en profite, en apportant ses propres copies de binaires légitimes – mais vulnérables – au système afin d’exploiter la vulnérabilité.
BlackLotus est capable de désactiver les mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, l’objectif principal du bootkit est de déployer un pilote de noyau (qui, entre autres choses, protège le bootkit contre la suppression) et un téléchargeur HTTP en charge de la communication avec le serveur de commande et de contrôle et capable de mettre en mémoire des charges utiles en mode utilisateur ou en mode noyau. Il est intéressant de noter que certains des installateurs de BlackLotus analysés par ESET ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise des paramètres régionaux provenant d’Arménie, du Bélarus, du Kazakhstan, de Moldavie, de Russie ou d’Ukraine.
La menace du bootkit BlackLotus est bien réelle
BlackLotus a été vendu sur des forums pirates depuis au moins début octobre 2022. « Nous pouvons maintenant présenter des preuves que le bootkit est réel et que l’offre n’est pas simplement une arnaque », déclare Smolár. « Le faible nombre d’échantillons de BlackLotus que nous avons pu obtenir, à la fois à partir de sources publiques et de notre télémétrie, nous conduit à croire que peu d’acteurs de la menace ont commencé à l’utiliser pour le moment. Nous sommes préoccupés par le fait que les choses changeront rapidement si ce bootkit tombe entre les mains de groupes de cybercriminels, compte tenu de la facilité de déploiement du bootkit et des capacités des groupes de criminels informatiques à propager des logiciels malveillants à l’aide de leurs botnets. »
De nombreuses vulnérabilités critiques affectant la sécurité des systèmes UEFI ont été découvertes au cours des dernières années. Malheureusement, en raison de la complexité de l’ensemble de l’écosystème UEFI et des problèmes de chaîne d’approvisionnement connexes, bon nombre de ces vulnérabilités ont laissé les systèmes vulnérables même longtemps après que les vulnérabilités ont été corrigées… ou du moins depuis que nous avons été informés qu’elles avaient été corrigées.
Les bootkits UEFI, des menaces très puissantes
Les bootkits UEFI sont des menaces très puissantes, ayant un contrôle total sur le processus de démarrage du système d’exploitation. Ils sont aussi capables de désactiver divers mécanismes de sécurité du système d’exploitation et de déployer leurs propres charges utiles de mode noyau ou de mode utilisateur aux premiers stades du démarrage. Cela leur permet d’opérer très discrètement et avec des privilèges élevés.
Jusqu’à présent, seulement quelques-uns ont été découverts dans la nature et décrits publiquement. Les bootkits UEFI peuvent perdre en furtivité par rapport aux implants firmware – tels que LoJax, le premier implant firmware UEFI découvert par ESET Research en 2018 – car les bootkits sont situés sur une partition de disque FAT32 facilement accessible. Cependant, en tant que chargeur de démarrage, ils disposent de presque les mêmes capacités, sans avoir à surmonter de multiples couches de fonctionnalités de sécurité protégeant contre les implants firmware.
Maintenez votre système constamment à jour
« Le meilleur conseil, bien sûr, est de maintenir votre système et son produit de sécurité à jour pour augmenter la chance qu’une menace soit arrêtée dès le début, avant qu’elle ne puisse atteindre la persistance pré-OS », conclut Smolár.
Pour plus d’informations techniques sur BlackLotus, ainsi que des conseils de mitigation et de remédiation, consultez l’article de blog « BlackLotus UEFI Bootkit: Myth confirmed » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d’ESET Research.