La National Security Agency (NSA) des États-Unis a publié aujourd’hui des conseils sur la manière de se défendre contre les attaques de logiciels malveillants du kit de démarrage BlackLotus UEFI.
BlackLotus circule sur les forums de piratage depuis octobre 2022, commercialisés comme des logiciels malveillants capables d’échapper à la détection, de résister aux efforts de suppression et de neutraliser plusieurs fonctionnalités de sécurité Windows telles que Defender, HVCI et BitLocker.
En mai, Microsoft a publié des mises à jour de sécurité pour corriger une vulnérabilité Zero-Day Secure Boot (CVE-2023-24932) qui a été utilisée pour contourner les correctifs publiés pour CVE-2022-21894, le bogue Secure Boot initialement abusé dans les attaques BlackLotus l’année dernière.
Cependant, le correctif CVE-2023-24932 est désactivé par défaut et ne supprimera pas le vecteur d’attaque exploité pour déployer BlackLotus.
Pour sécuriser les appareils Windows, les administrateurs doivent suivre une procédure manuelle nécessitant plusieurs étapes « pour mettre à jour le support de démarrage et appliquer les révocations avant d’activer cette mise à jour ».
« BlackLotus peut être stoppé sur les terminaux Windows entièrement mis à jour, les appareils personnalisés Secure Boot ou les terminaux Linux. Microsoft a publié des correctifs et continue de renforcer les mesures d’atténuation contre BlackLotus et Baton Drop », a déclaré la NSA.
« La communauté Linux peut supprimer le certificat Microsoft Windows Production CA 2011 sur les appareils qui démarrent exclusivement Linux. Les options d’atténuation disponibles aujourd’hui seront renforcées par les modifications apportées aux certificats Secure Boot du fournisseur à l’avenir (certains certificats expirent à partir de 2026). »
Conseils d’atténuation
Zachary Blum, analyste de la sécurité de la plate-forme de la NSA, a conseillé aujourd’hui aux administrateurs système et aux défenseurs du réseau de mettre également en œuvre des actions de renforcement sur les systèmes corrigés contre cette vulnérabilité.
« La NSA recommande aux administrateurs système du DoD et d’autres réseaux de prendre des mesures. BlackLotus n’est pas une menace de micrologiciel, mais cible plutôt la première étape logicielle du démarrage », a déclaré la NSA.
« Les solutions logicielles défensives peuvent être configurées pour détecter et empêcher l’installation de la charge utile BlackLotus ou l’événement de redémarrage qui démarre son exécution et son implantation. La NSA pense que les correctifs actuellement publiés pourraient donner un faux sentiment de sécurité à certaines infrastructures. »
Dans l’avis d’aujourd’hui, l’agence de renseignement américaine a recommandé les mesures suivantes comme mesures d’atténuation supplémentaires :
- Appliquez les dernières mises à jour de sécurité, mettez à jour le support de récupération et activez l’atténuation facultative
- Renforcez les politiques défensives en configurant le logiciel de sécurité des terminaux pour bloquer les tentatives d’installation de logiciels malveillants BlackLotus
- Utilisez les produits de sécurité des terminaux et les outils de surveillance des micrologiciels pour surveiller les mesures d’intégrité des périphériques et la configuration du démarrage
- Personnalisez le démarrage sécurisé UEFI pour bloquer les anciens chargeurs de démarrage Windows signés (avant janvier 2022)
BlackLotus a été utilisé dans des attaques ciblant Windows 10 et 11 pour exploiter une vulnérabilité (appelée Baton Drop et suivie sous le nom de CVE-2022-21894) trouvée dans les anciens chargeurs de démarrage (alias gestionnaires de démarrage) qui permet de contourner la protection Secure Boot et de déclencher une série d’actions malveillantes conçues pour compromettre la sécurité du système.
En exploitant CVE-2022-21894, les attaquants suppriment la politique de démarrage sécurisé, empêchant son application (les chargeurs de démarrage affectés par cette vulnérabilité n’ont pas encore été inclus dans la liste de révocation de Secure Boot DBX).
« Cependant, aucun correctif n’a été publié pour révoquer la confiance dans les chargeurs de démarrage non corrigés via la base de données Secure Boot Deny List (DBX). Les administrateurs ne doivent pas considérer la menace comme entièrement corrigée, car les chargeurs de démarrage vulnérables à Baton Drop sont toujours approuvés par Secure Boot », a déclaré la NSA. a dit.
En conséquence, les attaquants peuvent remplacer les chargeurs de démarrage entièrement corrigés par des versions vulnérables, leur permettant d’installer et d’exécuter le logiciel malveillant sur des appareils compromis.
Au cours du processus d’installation de BlackLotus, un extensible Firmware Interface (EFI) binaire du chargeur de démarrage Windows est déployé sur la partition de démarrage. Ensuite, les protections BitLocker et Memory Integrity sont désactivées juste avant le redémarrage de l’appareil pour démarrer et implanter le malware.
« Protéger les systèmes contre BlackLotus n’est pas une solution simple. L’application de correctifs est une bonne première étape, mais nous recommandons également des actions de renforcement, en fonction des configurations de votre système et des logiciels de sécurité utilisés », a déclaré Blum.