Le code source du bootkit BlackLotus UEFI a été divulgué en ligne, ce qui permet de mieux comprendre un logiciel malveillant qui a suscité de vives inquiétudes parmi les entreprises, les gouvernements et la communauté de la cybersécurité.
BlackLotus est un kit de démarrage UEFI ciblant Windows qui contourne le démarrage sécurisé sur les installations entièrement corrigées de Windows 11, évite les logiciels de sécurité, persiste sur un système infecté et exécute des charges utiles avec le niveau de privilèges le plus élevé du système d’exploitation.
Ses fonctionnalités incluent l’altération de la fonctionnalité de protection des données BitLocker, de l’antivirus Microsoft Defender et de l’intégrité du code protégé par l’hyperviseur (HVCI) – également connue sous le nom de fonctionnalité d’intégrité de la mémoire qui protège contre les tentatives d’exploitation du noyau Windows.
Le démarrage sécurisé de Windows est une fonctionnalité de sécurité qui bloque les chargeurs de démarrage non approuvés sur les ordinateurs équipés du micrologiciel UEFI (Unified Extensible Firmware Interface) et d’une puce TPM (Trusted Platform Module). Cette fonctionnalité de sécurité est destinée à empêcher le chargement des rootkits pendant le processus de démarrage et à échapper à la détection par les applications exécutées sous Windows.
BlackLotus a été le premier exemple découvert d’un kit de démarrage UEFI capable de contourner le mécanisme de démarrage sécurisé et de désactiver les protections de sécurité au niveau du système d’exploitation. Cela a été accompli initialement en exploitant la vulnérabilité « Baton Drop » (CVE-2022-21894), que Microsoft a corrigée en janvier 2022.
Des contournements ont été trouvés pour la mise à jour de sécurité, permettant à BlackLotus de continuer à fonctionner et forçant Microsoft à rattraper son retard en révoquant des gestionnaires de démarrage Windows supplémentaires.
Cela a conduit à une autre mise à jour de sécurité pour CVE-2023-24932 (un autre contournement de la fonction de sécurité du démarrage sécurisé) qui a révoqué d’autres gestionnaires de démarrage malveillants.
Cependant, Microsoft a désactivé la mise à jour de sécurité pour CVE-2023-24932 par défaut, obligeant les utilisateurs de Windows à effectuer une installation manuelle longue et quelque peu compliquée pour corriger leurs systèmes.
Comme Microsoft a averti qu’une installation incorrecte du correctif de sécurité pourrait empêcher votre système de démarrer ou être récupérable à partir du support d’installation Windows, beaucoup ont décidé de ne pas installer la mise à jour, laissant les appareils vulnérables aux attaques de contournement de démarrage sécurisé.
« Si vous utilisez Secure Boot et que vous n’effectuez pas correctement les étapes de cet article, vous ne pourrez peut-être pas démarrer ou récupérer votre appareil à partir d’un support », a expliqué Microsoft dans un bulletin d’assistance.
« Cela peut vous empêcher d’utiliser des supports de récupération, tels que des disques ou des lecteurs externes, ou la récupération de démarrage réseau, si le support n’a pas été correctement mis à jour. »
En raison de l’inquiétude et de la furtivité du malware BlackLotus, Microsoft et la NSA ont partagé des conseils sur la détection et la suppression du bootkit de Windows.
La fuite du code source de BlackLotus
BlackLotus a été initialement vendu sur des forums de pirates pour seulement 5 000 $, permettant aux acteurs de la menace de toutes compétences d’accéder à des logiciels malveillants généralement associés à des groupes de piratage parrainés par l’État.
Cependant, l’acteur de la menace a gardé le code source privé, offrant des reconstructions pour 200 $ aux clients qui souhaitaient personnaliser le bootkit.
Aujourd’hui, la société de sécurité Binarly a déclaré à Breachtrace que le code source du bootkit BlackLotus UEFI avait été divulgué sur GitHub par l’utilisateur « Yukari ». rendant l’outil largement accessible à tous.
Yukari dit que le code source a été modifié pour supprimer la vulnérabilité Baton Drop et utilise à la place le rootkit UEFI bootlicker, qui est basé sur les rootkits CosmicStrand, MoonBounce et ESPECTRE UEFI APT.
« Le code source divulgué n’est pas complet et contient principalement la partie rootkit et le code du bootkit pour contourner Secure Boot », a déclaré le co-fondateur et PDG de Binarly, Alex Matrosov.
Matrosov explique que les techniques du bootkit ne sont plus nouvelles, mais la fuite de code source rend triviale pour les acteurs de la menace de combiner le bootkit avec de nouvelles vulnérabilités du chargeur de démarrage, connues ou inconnues.
« La plupart de ces astuces et techniques sont connues depuis des années et n’ont pas d’impact significatif », a déclaré Matrosov à Breachtrace lors d’une conversation sur la fuite.
« Cependant, le fait qu’il soit possible de les combiner avec de nouveaux exploits comme l’a fait la campagne BlackLotus était quelque chose d’inattendu pour l’industrie et montre les véritables limites des atténuations actuelles sous le système d’exploitation. »
Il est important de souligner que même si Microsoft a corrigé les contournements du démarrage sécurisé dans CVE-2022-21894 et CVE-2023-24932, la mise à jour de sécurité est facultative et les correctifs sont désactivés par défaut.
Pour sécuriser les systèmes contre la menace du kit de démarrage BlackLotus UEFI, assurez-vous de suivre les conseils d’atténuation complets que la NSA a publiés le mois dernier.
Le code source du bootkit étant désormais largement disponible, il est également possible que des auteurs de logiciels malveillants compétents créent des variantes plus puissantes capables de contourner les contre-mesures existantes et futures.
Matrosov a déclaré à Breachtrace que ce vecteur d’attaque particulier présente des avantages significatifs pour les attaquants et ne fera que devenir plus sophistiqué et complexe.