WTF ! BlackLotus a été découvert pour la première fois en octobre 2022, et il a depuis été décrit comme l’une des menaces les plus complexes et les plus dangereuses contre le processus de démarrage sécurisé de Windows. Le bootkit deviendra probablement encore plus dangereux dans un avenir proche, car une version modifiée de son code source est désormais disponible au téléchargement pour tous.
Les script kiddies et autres cybercriminels moins compétents peuvent désormais jeter un coup d’œil au cœur de la bête : le code source de BlackLotus, le bootkit UEFI « invisible » capable de déjouer les fonctions de sécurité les plus avancées d’une installation Windows entièrement mise à jour, a été téléchargé sur GitHub par un utilisateur inconnu répondant au nom de « yukari ».
Le bootkit BlackLotus a été initialement découvert par des chercheurs en sécurité sur des marchés clandestins, où les auteurs du logiciel malveillant vendaient une « licence » d’utilisation de leur création pour 5 000 dollars. Ils proposaient également une « reconstruction » du code du logiciel malveillant avec des fonctions personnalisées pour 200 dollars, bien que le code source original du programme malveillant ait apparemment été gardé secret.
Sur la page GitHub de BlackLotus, Yukari décrit le logiciel comme un bootkit UEFI « innovant » conçu pour cibler les PC Windows. Le logiciel malveillant propose un processus intégré de contournement du démarrage sécurisé, la possibilité de protéger son code avec les privilèges du Core du système d’exploitation (Ring 0) et un chargeur HTTP pour obtenir des instructions et du code supplémentaire à partir de serveurs distants.
BlackLotus a été initialement conçu pour exploiter la vulnérabilité de sécurité dite « Baton Drop » (CVE-2022-21894), que Microsoft a corrigée en janvier 2022. Après ce premier correctif, Redmond a publié une nouvelle mise à jour pour un autre problème de contournement de Secure Boot (CVE-2023-24932), qui a été conçu pour révoquer les gestionnaires de démarrage malveillants.
L’entreprise a fourni des instructions détaillées sur la manière de détecter une infection furtive par BlackLotus, ainsi que des conseils supplémentaires sur la manière d’installer manuellement les révocations du gestionnaire de démarrage afin de combler toutes les failles exploitées par le bootkit connu à ce jour.
Cependant, la version du code source publiée sur GitHub (v2) ne contient aucun code capable d’exploiter la faille CVE-2022-21894, tandis que les charges utiles pour le chargement UEFI, l’infection et la « persistance post-exploitation » sont les mêmes que celles de la version originale. Les logiciels antivirus traditionnels ne peuvent pas détecter ou supprimer BlackLotus, note l’auteur de la fuite. Par ailleurs, les fonctions de sécurité avancées telles que UAC, HVCI et BitLocker sont inefficaces.
Selon Alex Matrosov, cofondateur et PDG de la société de sécurité Binarly, qui a annoncé la disponibilité du code source de BlackLotus, la plupart des « astuces » et des techniques utilisées dans le bootkit sont connues depuis des années. La véritable menace vient maintenant du fait que chaque auteur de logiciel malveillant ou cybercriminel peut étudier la façon dont les auteurs de BlackLotus ont fait leur travail, en combinant des techniques connues avec de nouveaux exploits et de nouvelles astuces. Des bootkits plus avancés et plus dangereux pourraient bientôt devenir la norme.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
