BlackLotus el primer malware UEFI Bootkit para evitar el arranque seguro en W11

Un sigiloso kit de arranque de la Interfaz de firmware extensible unificada (UEFI) llamado BlackLotus se ha convertido en el primer malware conocido públicamente capaz de eludir las defensas de arranque seguro, lo que lo convierte en una potente amenaza en el panorama cibernético.

"Este bootkit puede ejecutarse incluso en sistemas Windows 11 totalmente actualizados con UEFI Secure Boot habilitado", dijo la compañía eslovaca de ciberseguridad ESET en un informe compartido con The Hacker News.

Los bootkits UEFI se implementan en el firmware del sistema y permiten un control total sobre el proceso de arranque del sistema operativo (SO), lo que permite deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas arbitrarias durante el inicio con altos privilegios.

Ofrecido a la venta a $ 5,000 (y $ 200 por nueva versión posterior), el kit de herramientas potente y persistente está programado en Assembly y C y tiene un tamaño de 80 kilobytes. También cuenta con capacidades de geofencing para evitar infectar computadoras en Armenia, Bielorrusia, Kazajstán, Moldavia, Rumania, Rusia y Ucrania.

Los detalles sobre BlackLotus surgieron por primera vez en octubre de 2022, y el investigador de seguridad de Kaspersky Sergey Lozhkin lo describió como una solución sofisticada de crimeware.

"Esto representa un poco de un 'salto' adelante, en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, el potencial de mucho más impacto en las formas de persistencia, evasión y / o destrucción", señaló Scott Scheferman de Eclypsium.

BlackLotus, en pocas palabras, explota una falla de seguridad rastreada como CVE-2022-21894 (también conocida como Baton Drop) para sortear las protecciones de arranque seguro UEFI y configurar la persistencia. La vulnerabilidad fue abordada por Microsoft como parte de su actualización Patch Tuesday de enero de 2022.

Una explotación exitosa de la vulnerabilidad, según ESET, permite la ejecución de código arbitrario durante las primeras fases de arranque, lo que permite a un actor de amenazas llevar a cabo acciones maliciosas en un sistema con UEFI Secure Boot habilitado sin tener acceso físico a él.


"Este es el primer abuso públicamente conocido de esta vulnerabilidad", dijo el investigador de ESET, Martin Smolár. "Su explotación aún es posible ya que los binarios afectados y firmados válidamente aún no se han agregado a la lista de revocación de UEFI".

"BlackLotus se aprovecha de esto, trayendo sus propias copias de binarios legítimos, pero vulnerables, al sistema para explotar la vulnerabilidad", allanando efectivamente el camino para los ataques Bring Your Own Vulnerable Driver (BYOVD).

Además de estar equipado para desactivar mecanismos de seguridad como BitLocker, integridad de código protegida por hipervisor (HVCI) y Windows Defender, también está diseñado para eliminar un controlador de kernel y un descargador HTTP que se comunica con un servidor de comando y control (C2) para recuperar malware adicional en modo usuario o kernel.

El modus operandi exacto utilizado para implementar el bootkit aún se desconoce, pero comienza con un componente de instalación que es responsable de escribir los archivos en la partición del sistema EFI, deshabilitar HVCI y BitLocker y, a continuación, reiniciar el host.

El reinicio es seguido por la militarización de CVE-2022-21894 para lograr la persistencia e instalar el bootkit, después de lo cual se ejecuta automáticamente en cada inicio del sistema para implementar el controlador del kernel.

Mientras que el controlador tiene la tarea de iniciar el descargador HTTP en modo usuario y ejecutar cargas útiles en modo kernel de la siguiente etapa, este último es capaz de ejecutar comandos recibidos del servidor C2 a través de HTTPS.

Esto incluye descargar y ejecutar un controlador de kernel, DLL o un ejecutable normal; Obtener actualizaciones de bootkit e incluso desinstalar el bootkit del sistema infectado.

"Muchas vulnerabilidades críticas que afectan la seguridad de los sistemas UEFI se han descubierto en los últimos años", dijo Smolár. "Desafortunadamente, debido a la complejidad de todo el ecosistema UEFI y los problemas relacionados con la cadena de suministro, muchas de estas vulnerabilidades han dejado a muchos sistemas vulnerables incluso mucho tiempo después de que se hayan solucionado las vulnerabilidades, o al menos después de que nos dijeron que se solucionaron".

"Era solo cuestión de tiempo antes de que alguien aprovechara estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta