Pourquoi est-ce important: Découvert en octobre 2022, BlackLotus est un puissant bootkit compatible UEFI vendu sur les marchés souterrains à 5 000 $ par licence. Le logiciel malveillant offre des capacités impressionnantes et une nouvelle analyse confirme désormais les pires craintes des experts en sécurité.

BlackLotus est une menace puissante contre la sécurité informatique moderne basée sur les micrologiciels. Ce bootkit UEFI fournit des capacités offensives auparavant disponibles uniquement pour les menaces persistantes avancées (APT) et les groupes parrainés par l’État pour les script kiddies et tout « client » payant. Les chercheurs de Kaspersky ont découvert et disséqué le malware en 2022 et ont trouvé un mélange très compact de code Assembly et C.

Un nouveau rapport de l’analyste ESET Martin Smolár maintenant confirme l’une des capacités les plus remarquables et les plus dangereuses du logiciel malveillant : BlackLotus est le premier kit de démarrage UEFI « à l’état sauvage » à compromettre un système même lorsque la fonction de démarrage sécurisé est correctement activée. Smolár dit qu’il s’agit d’un kit malveillant qui peut fonctionner sur des systèmes UEFI entièrement mis à jour.

BlackLotus peut également faire ses sales actions sur un système Windows 11 entièrement mis à jour. L’entreprise de sécurité slovaque affirme que le malware est la première menace publiquement connue conçue pour abuser de la vulnérabilité de contournement de la fonctionnalité de sécurité du démarrage sécurisé CVE-2022-21894. Microsoft a corrigé cette faille en janvier 2022. Cependant, les mauvais acteurs peuvent toujours l’exploiter en utilisant des fichiers binaires signés validement non ajoutés à la révocation UEFI liste.

Le bootkit peut désactiver de nombreuses fonctionnalités de sécurité avancées au niveau du système d’exploitation, telles que BitLocker, HVCI et Windows Defender. Smolár note qu’une fois installé, l’objectif principal du malware est de déployer un pilote de noyau, qui protège le bootkit de la suppression. Ensuite, un téléchargeur HTTP contacte le serveur de commande et de contrôle pour obtenir des instructions supplémentaires ou des charges utiles malveillantes supplémentaires en mode utilisateur ou en mode noyau.

Selon Smolár, l’offre BlackLotus découverte sur les forums de hackers est authentique. Le logiciel malveillant est aussi performant que l’a dit le vendeur d’origine, et nous ne savons pas encore qui l’a créé. Jusqu’à présent, la preuve la plus révélatrice de ses origines est que certains installateurs de BlackLotus ne procèdent pas à l’installation du bootkit sur des systèmes situés en Moldavie, en Russie, en Ukraine, en Biélorussie, en Arménie ou au Kazakhstan.

Smolár souligne que les bootkits UEFI sont des « menaces très puissantes » car ils contrôlent le processus de démarrage du système d’exploitation et désactivent divers mécanismes de sécurité du système d’exploitation pour déployer des charges utiles malveillantes de manière invisible lors du démarrage. BlackLotus est la première instance d’un livre UEFI véritablement tout-puissant découvert dans la nature. Ce ne sera probablement pas le dernier depuis un preuve de concept pour exploiter CVE-2022-21894 est déjà disponible sur GitHub.