BlackLotus to nowe i bardzo silne złośliwe oprogramowanie, które może ominąć zabezpieczenia takie jak Secure Boot w systemach Windows 11, stanowiąc poważne zagrożenie. Jest to pierwsze znane złośliwe oprogramowanie, które jest zdolne do tego działania.

Bootkit Unified Extensible Firmware Interface (UEFI) może działać nawet na w pełni zaktualizowanych systemach z włączonym UEFI Secure Boot.

Bootkity UEFI są instalowane w oprogramowaniu systemowym i umożliwiają pełną kontrolę nad procesem uruchamiania systemu operacyjnego, co umożliwia wdrażanie dowolnych payloadów z wysokimi uprawnieniami podczas uruchamiania przy jednoczesnym wyłączeniu mechanizmów bezpieczeństwa na poziomie systemu operacyjnego. BlackLotus wykorzystuje lukę w zabezpieczeniach CVE-2022-21894, aby ominąć ochronę UEFI Secure Boot i ustanowić trwałość, co zostało uwzględnione przez Microsoft w aktualizacji Patch Tuesday ze stycznia 2022 r. Luka jest nadal otwarta, ponieważ pliki binarne, których dotyczy luka, nadal nie są dodawane do listy wycofanych uprawnień UEFI.

BlackLotus może wyłączyć mechanizmy bezpieczeństwa, takie jak BitLocker, integralność kodu chroniona przez Hypervisor (HVCI) i Windows Defender. Ponadto jest zaprogramowany do usuwania sterownika jądra i narzędzia pobierania HTTP, które komunikują się z serwerem dowodzenia i kontroli (C2) w celu pobrania dodatkowego złośliwego oprogramowania w trybie użytkownika lub w trybie jądra. Modus operandi użyty do wdrożenia bootkita jest nieznany. Komponent instalatora jest jednak odpowiedzialny za zapisanie plików na partycji systemowej EFI, wyłączenie HVCI i BitLocker oraz ponowne uruchomienie hosta. Po ponownym uruchomieniu CVE-2022-21894 jest uzbrojony w celu osiągnięcia trwałości i zainstalowania bootkita, który jest automatycznie uruchamiany przy każdym starcie systemu w celu wdrożenia sterownika jądra.

W ostatnich latach odkryto luki w zabezpieczeniach UEFI, które stanowią poważne zagrożenie dla ekosystemu UEFI i powiązanego łańcucha dostaw. Jednak ze względu na złożoność systemu i związane z nim problemy z łańcuchem dostaw, wiele z tych luk sprawia, że systemy są podatne na ataki, nawet po ich naprawieniu. BlackLotus wykorzystuje te awarie, tworząc bootkit UEFI, który działa w systemach z włączonym UEFI Secure Boot.

źródło: https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html