Les chercheurs en sécurité de chez ESET alertent au sujet de BlackLotus, un bootkit redoutable qui est capable de bypasser le Secure Boot et d'autres composants de Windows ! Faisons le point !

Imaginez une machine sous Windows 11, entièrement à jour afin d'être protégée contre les failles de sécurité connues, et avec le Secure Boot actif dans les options UEFI. Malgré cette configuration, elle est vulnérable au bootkit BlackLotus. Au passage, il est capable aussi de bypasser l'UAC, et de désactiver BitLocker, Windows Defender et la fonction Hypervisor-Protected (HVCI) prise en charge par Windows 10 et Windows 11.

• Rapport d'ESET sur BlackLotus

BlackLotus exploite la CVE-2022-21894

Comment est-ce possible ? Et bien, ce bootkit exploite la vulnérabilité CVE-2022-21894 (alias Baton Drop) pour contourner la sécurité du Secure Boot et compromettre la machine Windows ! Pourtant, cette faille de sécurité a été patchée par Microsoft à l'occasion de la sortie du Patch Tuesday de Janvier 2022.

L'infection s'effectue en plusieurs étapes et cette faille de sécurité est exploitée au redémarrage de la machine Windows.

D'après Martin Smolár de chez ESET, c'est la première fois que cette vulnérabilité est exploitée par un logiciel malveillant. Ou en tout cas, c'est le premier cas connu. Il estime que ce n'est pas surprenant qu'elle soit toujours exploitable, car d'après lui, l'UEFI est complexe et difficile à patcher.

Le chercheur de chez ESET précise : "Bien que la vulnérabilité ait été corrigée dans la mise à jour de Microsoft de janvier 2022, son exploitation est toujours possible car les binaires concernés n'ont toujours pas été ajoutés à la liste de révocation UEFI. Par conséquent, les attaquants peuvent apporter leurs propres copies des binaires vulnérables sur les machines de leurs victimes pour exploiter cette vulnérabilité et contourner Secure Boot sur les systèmes UEFI à jour." - Ce que fait BlackLotus.

Que fait BlackLotus sur la machine infectée ?

Lorsqu'une machine est infectée par BlackLotus, le bootkit va chercher à déployer un pilote dans le kernel de manière à être persistant et à être protégé contre les tentatives de suppression. En complément, il est doté de capacité lui permettant de communiquer en HTTP(S) avec un serveur de Command & Control piloté par les cybercriminels. Cela lui permet de télécharger d'autres malwares.

ESET a constaté un fait intéressant : "Certains des installeurs de BlackLotus que nous avons analysés ne procèdent pas à l'installation du bootkit si l'hôte compromis utilise l'une des locales suivantes : Moldavie, Moldavie, Russie, Ukraine, Biélorussie, Arménie, Kazakhstan."

Comment se protéger de BlackLotus ?

D'après le rapport très complet d'ESET, il est recommandé de maintenir à jour son système d'exploitation et sa solution de sécurité, pour augmenter ses chances de stopper la menace avant qu'elle infecte le système de façon persistante.

Selon lui, la clé réside dans la mise à jour de la liste de révocation UEFI qui doit être diffusée par Microsoft via les mises à jour Windows. Mais, c'est plus facile à dire qu'à faire de façon réactive : "Le problème est que la révocation des binaires Windows UEFI largement utilisés peut conduire à rendre des milliers de systèmes obsolètes, d'images de récupération ou de sauvegardes non amorçables - et donc, la révocation prend souvent trop de temps.". On comprend donc que la gestion d'une telle menace n'est pas évidente.

En soi, le bootkit BlackLotus n'est pas nouveau car il a été repéré pour la première fois en octobre 2022 par le chercheur en sécurité Sergey Lozhkin, de chez Kaspersky. Mais cette fois-ci, la menace semble très sérieuse d'autant plus qu'il est possible d'en acheter une version pour 5 000 dollars sur certains sites spécialisés. A suivre de près d'autant plus si BlackLotus tombe entre les mains de groupes de cybercriminels...

Source

The post Le bootkit BlackLotus contourne le Secure Boot sur un Windows à jour ! first appeared on IT-Connect.