BlackLotus Secure Boot Bypass Malware prêt à monter en puissance

BlackLotus, le premier logiciel malveillant dans la nature à contourner le démarrage sécurisé de Microsoft (même sur des systèmes entièrement corrigés), générera des imitateurs et, disponible dans un kit de démarrage facile à utiliser sur le Dark Web, incitera les attaquants de micrologiciels à augmenter leur activité, experts en sécurité ont déclaré cette semaine.

Cela signifie que les entreprises doivent redoubler d'efforts pour valider l'intégrité de leurs serveurs, ordinateurs portables et postes de travail, dès maintenant.

Le 1er mars, la société de cybersécurité ESET a publié une analyse de la Kit de démarrage BlackLotus, qui contourne une fonctionnalité de sécurité Windows fondamentale connue sous le nom de démarrage sécurisé UEFI (Unified Extensible Firmware Interface). Microsoft a introduit Secure Boot il y a plus de dix ans, et il est maintenant considéré comme l'un des les fondations de son framework Zero Trust pour Windows à cause de la difficulté à le renverser.

Pourtant, les acteurs de la menace et les chercheurs en sécurité ciblent de plus en plus les implémentations de démarrage sécurisé, et pour une bonne raison : étant donné que l'UEFI est le niveau de micrologiciel le plus bas sur un système (responsable du processus de démarrage), la découverte d'une vulnérabilité dans le code d'interface permet à un l'attaquant d'exécuter des logiciels malveillants avant que le noyau du système d'exploitation, les applications de sécurité et tout autre logiciel n'entrent en action. Cela garantit l'implantation de logiciels malveillants persistants que les agents de sécurité normaux ne détecteront pas. Il offre également la possibilité de s'exécuter en mode noyau, de contrôler et de subvertir tous les autres programmes de la machine - même après la réinstallation du système d'exploitation et le remplacement du disque dur - et de charger des logiciels malveillants supplémentaires au niveau du noyau.

Il y a eu quelques vulnérabilités précédentes dans la technologie de démarrage, telles que la faille BootHole révélée en 2020 qui a affecté le bootloader Linux GRUB2, et une faille de micrologiciel dans cinq modèles d'ordinateurs portables Acer qui pourrait être utilisé pour désactiver le démarrage sécurisé. Le département américain de la sécurité intérieure et le département du commerce, même récemment averti de la menace persistante posées par les rootkits et les bootkits de micrologiciels dans un projet de rapport sur les problèmes de sécurité de la chaîne d'approvisionnement. Mais BlackLotus augmente considérablement les enjeux sur les problèmes de firmware.

En effet, bien que Microsoft ait corrigé la faille ciblée par BlackLotus (une vulnérabilité connue sous le nom de Baton Drop ou CVE-2022-21894), le patch ne fait que rendre l'exploitation plus difficile — pas impossible. Et l'impact de la vulnérabilité sera difficile à mesurer, car les utilisateurs concernés ne verront probablement pas de signes de compromission, selon un avertissement d'Eclypsium publié cette semaine.

"Si un attaquant parvient à s'implanter, les entreprises pourraient devenir aveugles, car une attaque réussie signifie qu'un attaquant contourne toutes vos défenses de sécurité traditionnelles", déclare Paul Asadoorian, principal évangéliste de la sécurité chez Eclypsium. "Ils peuvent désactiver la journalisation et mentir à tous les types de contre-mesures défensives que vous pourriez avoir sur le système pour vous dire que tout va bien."

Maintenant que BlackLotus a été commercialisé, il ouvre la voie au développement de produits similaires, notent les chercheurs. "Nous nous attendons à voir davantage de groupes de menaces intégrer des contournements de démarrage sécurisés dans leur arsenal à l'avenir", déclare Martin Smolár, chercheur sur les logiciels malveillants chez ESET. "L'objectif ultime de chaque acteur de la menace est la persistance sur le système, et avec la persistance UEFI, ils peuvent fonctionner de manière beaucoup plus furtive qu'avec tout autre type de persistance au niveau du système d'exploitation."

Patcher ne suffit pas

Même si Microsoft a patché Baton Drop il y a plus d'un an, le certificat de la version vulnérable reste valide, d'après Eclypsium. Les attaquants ayant accès à un système compromis peuvent installer un chargeur de démarrage vulnérable, puis exploiter la vulnérabilité, gagner en persistance et un niveau de contrôle plus privilégié.

Microsoft maintient une liste des hachages cryptographiques des chargeurs de démarrage Secure Boot légitimes. Pour empêcher le chargeur de démarrage vulnérable de fonctionner, l'entreprise devrait révoquer le hachage, mais cela empêcherait également les systèmes légitimes - bien que non corrigés - de fonctionner.

"Pour résoudre ce problème, vous devez révoquer les hachages de ce logiciel pour indiquer à Secure Boot et au processus interne de Microsoft que ce logiciel n'est plus valide dans le processus de démarrage", explique Asadoorian. "Ils devraient émettre la révocation, mettre à jour la liste de révocation, mais ils ne le font pas, car cela casserait beaucoup de choses."

Le mieux que les entreprises puissent faire est de mettre à jour régulièrement leur micrologiciel et leurs listes de révocation, et de surveiller les points de terminaison pour détecter les indications qu'un attaquant a apporté des modifications, a déclaré Eclypsium dans son avis.

Smolár d'ESET, qui a mené l'enquête précédente dans BlackLotus, a déclaré dans un communiqué du 1 mars s'attendre à ce que l'exploitation s'intensifie.

"Le faible nombre d'échantillons de BlackLotus que nous avons pu obtenir, à la fois de sources publiques et de notre télémétrie, nous porte à croire que peu d'acteurs malveillants ont encore commencé à l'utiliser", a-t-il déclaré. "Nous craignons que les choses changent rapidement si ce bootkit tombe entre les mains de groupes de logiciels criminels, en raison de la facilité de déploiement du bootkit et des capacités des groupes de logiciels criminels à propager des logiciels malveillants à l'aide de leurs botnets."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/blacklotus-secure-boot-bypass-malware-set-to-ramp-up