● ESET Research: premier à publier une analyse de BlackLotus, premier bootkit UEFI in-the-wild capable de contourner UEFI Secure Boot, une fonction sécuritaire essentielle de la plate-forme.
● Ce kit de démarrage UEFI, vendu sur des forums de piratage pour 5.000 $ depuis octobre 2022, peut fonctionner sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé.
● Le bootkit exploite une vulnérabilité de plus d'un an (CVE-2022-21894) pour contourner UEFI Secure Boot et configurer la persistance du bootkit. C’est le premier abus connu de la vulnérabilité.
● La vulnérabilité corrigée dans la mise à jour Microsoft de janvier 2022 peut toujours être exploitée et permettre la désactivation des mécanismes sécuritaires du système d'exploitation tels que BitLocker, HVCI et Windows Defender.
● BlackLotus, facile à déployer, peut se propager rapidement s'il est entre les mains de groupes de criminels.
● Certains programmes d'installation de BlackLotus analysés par ESET n’installent pas le bootkit si l'hôte compromis utilise des paramètres régionaux tels que : Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.
BRATISLAVA — Le 1er mars 2023 — ESET Research est le premier à publier l‘analyse d'un kit de démarrage UEFI capable de contourner une fonctionnalité sécuritaire essentielle de la plate-forme - UEFI Secure Boot. Sa fonctionnalité et ses caractéristiques individuelles font croire qu'il s'agit d'une menace connue sous le nom de BlackLotus, un bootkit UEFI vendu sur des forums de piratage pour 5.000 $ depuis octobre 2022. Il fonctionne sur Windows 11 mis à jour avec UEFI Secure Boot activé.
"L‘enquête a commencé par quelques résultats sur ce qui s'est avéré être (avec un grand niveau de certitude) le composant BlackLotus en mode utilisateur - un téléchargeur HTTP - dans notre télémétrie fin 2022. Après une évaluation initiale, les types de code trouvés dans les échantillons nous ont fait découvrir six installateurs BlackLotus. Ce qui nous a permis d'explorer toute la chaîne d'exécution et de réaliser qu‘ici nous n‘avions pas seulement un logiciel malveillant ordinaire”, explique Martin Smolár, le chercheur d'ESET qui a mené l'enquête.
Le bootkit exploite une vulnérabilité agée de plus d'un an (CVE-2022-21894) pour contourner UEFI Secure Boot et configurer la persistance du bootkit. Il s'agit du premier abus connu de cette vulnérabilité. Bien qu‘elle ait été corrigée dans la mise à jour Microsoft de janvier 2022, son exploitation est toujours possible car les binaires affectés et valablement signés n'ont toujours pas été ajoutés à la liste de révocation UEFI. BlackLotus en bénéficie, apportant au système ses propres copies de binaires légitimes – mais vulnérables – afin d'exploiter la vulnérabilité.
BlackLotus peut désactiver les mécanismes de sécurité du système d'exploitation tels que BitLocker, HVCI et Windows Defender. Une fois installé, son objectif principal est le déploiement d’un pilote de noyau (qui protège le bootkit contre la suppression) et qui peut installer des charges utiles supplémentaires en mode utilisateur ou en mode noyau. Certains programmes d'installation de BlackLotus analysés par ESET n’installent pas le bootkit si l'hôte compromis utilise les paramètres régionaux Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.
BlackLotus est annoncé et vendu sur des forums clandestins depuis au moins début octobre 2022. "Nous pouvons présenter la preuve que le bootkit est réel et que la publicité n'est pas une arnaque", déclare Smolár. "Le faible nombre d'échantillons de BlackLotus que nous avons pu obtenir, de sources publiques et de notre télémétrie, nous porte à croire que peu d'acteurs malveillants ont commencé à l'utiliser. Nous craignons que les choses changent rapidement si ce bootkit tombe entre les mains de groupes de criminels, grâce à la facilité de déploiement du bootkit et des capacités des groupes criminels à propager des logiciels malveillants à l'aide de leurs botnets.“
Ces dernières années, de nombreuses vulnérabilités critiques affectant la sécurité des systèmes UEFI ont été découvertes. Malheureusement, suite à la complexité de l'ensemble de l'écosystème UEFI et des problèmes de chaîne d'approvisionnement associés, ces vulnérabilités ont rendu les systèmes vulnérables même longtemps après que les vulnérabilités n‘aient été corrigées… ou du moins depuis qu'on nous a dit qu'elles l‘avaient été.
Les bootkits UEFI sont de puissantes menaces, avec un contrôle total sur le processus de démarrage du système d'exploitation, capables de désactiver divers mécanismes sécuritaires du système d'exploitation tout en déployant leurs propres charges utiles en mode noyau ou en mode utilisateur aux premières étapes du démarrage. Cela leur permet de fonctionner très discrètement et avec des privilèges élevés. Jusqu'à présent, seuls quelques-uns ont été découverts in-the-wild (dans la nature) et décrits publiquement. Les bootkits UEFI peuvent perdre en discrétion par rapport aux implants de micrologiciels - tels que LoJax, le premier implant de micrologiciel UEFI in-the-wild, découvert par ESET Research en 2018 - les bootkits étant situés sur une partition de disque FAT32 facilement accessible. L'exécution en tant que chargeur de démarrage leur donne pratiquement les mêmes capacités, sans devoir contourner plusieurs couches de fonctions sécuritaires qui protègent contre les implantations de micrologiciels.
Et Smolár de conclure: "Le meilleur conseil est, bien sûr, de maintenir son système et son produit de sécurité à jour pour augmenter les chances qu'une menace soit stoppée au départ, avant qu'elle ne puisse atteindre la persistance pré-OS".
Pour plus d'informations techniques sur BlackLotus, ainsi que des conseils d'atténuation et de correction, consultez le blog BlackLotus UEFI Bootkit: Myth confirmed sur WeLiveSecurity. Suivez ESET Research sur Twitter -ESET Research on Twitter - pour les dernières nouvelles d'ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/