BlackLotus è un bootkit UEFI venduto sui forum di hacking per circa $5.000 che ora riesce a bypassare Secure Boot, diventando così il primo malware noto a funzionare sui sistemi Windows anche con la funzione di sicurezza del firmware abilitata.
Secure Boot dovrebbe impedire ai dispositivi di eseguire software non autorizzato sui sistemi Microsoft. Ma prendendo di mira l’UEFI, il malware BlackLotus si carica prima di qualsiasi altra cosa nel processo di avvio, inclusi il sistema operativo e gli strumenti di sicurezza che potrebbero fermarlo.
Il ricercatore di sicurezza di Kaspersky, Sergey Lozhkin, ha visto BlackLotus essere venduto sui mercati del crimine informatico già nell’ottobre 2022 e da allora gli specialisti di sicurezza lo stanno smontando pezzo per pezzo.
In una ricerca pubblicata, l’analista di malware di ESET, Martin Smolár, afferma che il mito di un bootkit in-the-wild che bypassa Secure Boot “è ora una realtà”, a differenza della solita serie di annunci falsi da parte dei criminali che cercano di truffare i loro simili malviventi.
Il malware più recente “è in grado di funzionare anche sui sistemi Windows 11 completamente aggiornati con UEFI Secure Boot abilitato”, ha aggiunto Smolár.
BlackLotus sfrutta una vulnerabilità di oltre un anno, CVE-2022-21894, per bypassare il processo di Secure Boot ed effettuare la persistenza. Microsoft ha corretto questa CVE nel gennaio 2022, ma i malintenzionati possono comunque sfruttarla perché i binari firmati interessati non sono stati aggiunti all’elenco di revoca UEFI, ha notato Smolár.
“BlackLotus ne approfitta, portando le sue copie di binari legittimi ma vulnerabili nel sistema per sfruttare la vulnerabilità”, ha scritto.
Inoltre, uno sfruttamento di proof-of-concept per questa vulnerabilità è stato reso pubblico nell’agosto 2022, quindi ci si aspetta di vedere presto più criminali informatici che utilizzano questo problema a scopi illeciti.
E per rendere ancora più difficile la rilevazione: BlackLotus può disabilitare diversi strumenti di sicurezza del sistema operativo, tra cui BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, e bypassare il Controllo account utente (UAC), secondo il negozio di sicurezza.
E sebbene i ricercatori non attribuiscano il malware a una particolare banda o gruppo di stato-nazione, notano che gli installer di BlackLotus che hanno analizzato non procederanno se il computer compromesso si trova in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.
Una volta che BlackLotus sfrutta CVE-2022-21894 e disattiva gli strumenti di sicurezza del sistema, distribuisce un driver del kernel e un downloader HTTP. Il driver del kernel, tra le altre cose, protegge i file di bootkit dalla rimozione, mentre il downloader HTTP comunica con il server di comando e controllo ed esegue carichi dannosi. In altre parole, una volta che BlackLotus ha bypassato la funzione Secure Boot e ha disabilitato le difese di sicurezza del sistema operativo, può eseguire azioni dannose senza essere rilevato e senza alcuna resistenza.
Gli esperti di sicurezza affermano che BlackLotus è stato progettato per finalità di spionaggio e furto di dati. Può essere utilizzato per raccogliere informazioni su computer compromessi, rubare credenziali di accesso, installare altre minacce informatiche e persino per controllare il computer infetto a distanza.
È importante notare che BlackLotus non è la prima minaccia informatica che sfrutta le vulnerabilità del firmware UEFI. Negli ultimi anni, sono state scoperte diverse altre minacce informatiche, tra cui attacchi di tipo rootkit, che sfruttano il firmware UEFI per eludere le difese di sicurezza del sistema operativo.
Tuttavia, BlackLotus è il primo malware noto in grado di bypassare Secure Boot e di eseguire codice dannoso su sistemi operativi Windows anche quando la funzione di sicurezza del firmware è abilitata. Gli esperti di sicurezza affermano che questo è un avvertimento per gli utenti di computer e le organizzazioni di rafforzare le difese di sicurezza del loro sistema, inclusa la protezione del firmware UEFI, per proteggersi contro queste minacce informatiche sempre più sofisticate.
