Gabriel
Pourquoi c’est important : Découvert en octobre 2022, BlackLotus est un puissant bootkit compatible UEFI vendu sur les marchés souterrains à 5 000 $ par licence. Le logiciel malveillant offre des capacités impressionnantes et une nouvelle analyse confirme désormais les pires craintes des experts en sécurité.
BlackLotus est une menace puissante contre la sécurité informatique moderne basée sur les micrologiciels. Ce bootkit UEFI fournit des capacités offensives auparavant disponibles uniquement pour les menaces persistantes avancées (APT) et les groupes parrainés par l’État pour scripter les enfants et tout «client» payant. Les chercheurs de Kaspersky ont découvert et disséqué le malware en 2022 et ont trouvé un mélange très compact de code Assembly et C.
Un nouveau rapport de l’analyste ESET Martin Smolár confirme maintenant l’une des capacités les plus remarquables et les plus dangereuses du malware : BlackLotus est le premier bootkit UEFI « dans la nature » à compromettre un système même lorsque la fonction Secure Boot est correctement activée. Smolár dit qu’il s’agit d’un kit malveillant qui peut fonctionner sur des systèmes UEFI entièrement mis à jour.
BlackLotus peut également faire ses sales actions sur un système Windows 11 entièrement mis à jour. L’entreprise de sécurité slovaque affirme que le malware est la première menace publiquement connue conçue pour abuser de la vulnérabilité de contournement de la fonctionnalité de sécurité du démarrage sécurisé CVE-2022-21894. Microsoft a corrigé cette faille en janvier 2022. Cependant, les mauvais acteurs peuvent toujours l’exploiter en utilisant des fichiers binaires signés validement non ajoutés à la liste de révocation UEFI.
Le bootkit peut désactiver de nombreuses fonctionnalités de sécurité avancées au niveau du système d’exploitation, telles que BitLocker, HVCI et Windows Defender. Smolár note qu’une fois installé, l’objectif principal du malware est de déployer un driver de Core, qui protège le bootkit de la suppression. Ensuite, un téléchargeur HTTP contacte le serveur de commande et de contrôle pour obtenir des instructions supplémentaires ou des charges utiles malveillantes supplémentaires en mode utilisateur ou en mode Core.
Selon Smolár, l’offre BlackLotus découverte sur les forums de hackers est authentique. Le logiciel malveillant est aussi performant que l’a dit le vendeur d’origine, et nous ne savons pas encore qui l’a créé. Jusqu’à présent, la preuve la plus révélatrice de ses origines est que certains installateurs de BlackLotus ne procèdent pas à l’installation du bootkit sur des systèmes situés en Moldavie, en Russie, en Ukraine, en Biélorussie, en Arménie ou au Kazakhstan.
Smolár souligne que les bootkits UEFI sont des « menaces très puissantes » car ils contrôlent le processus de démarrage du système d’exploitation et désactivent divers mécanismes de sécurité du système d’exploitation pour déployer des charges utiles malveillantes de manière invisible au démarrage. BlackLotus est la première instance d’un livre UEFI véritablement tout-puissant découvert dans la nature. Ce ne sera probablement pas le dernier puisqu’une preuve de concept pour exploiter CVE-2022-21894 est déjà disponible sur GitHub.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :