BlackLotus, un bootkit UEFI (Unified Extensible Firmware Interface) malicieux, est le premier virus publiquement connu capable de passer les protections Secure Boot, ce qui en fait une menace sérieuse dans l'environnement en ligne.

"Ce bootkit peut s'exécuter même sur des systèmes Windows 11 entièrement mis à jour et dont le système de démarrage sécurisé UEFI est activé", a déclaré la société slovaque de cybersécurité ESET.

Les bootkits UEFI sont installés dans le firmware du système et donnent aux utilisateurs un contrôle total sur le processus de démarrage du système d'exploitation. Ils peuvent ainsi désactiver les fonctions de sécurité du système d'exploitation et lancer n'importe quelle charge utile avec des privilèges élevés pendant le démarrage.

BlackLotus utilise un exploit connu sous le nom de CVE-2022-21894 (également connu sous le nom de Baton Drop) pour contourner les mesures de sécurité de l'UEFI Secure Boot et établir la persistance.

Selon ESET, une exploitation réussie de la faille permet l'exécution de code arbitraire pendant les premières phases de démarrage, ce qui permet à un acteur de la menace d'effectuer des opérations malveillantes sur une machine avec UEFI Secure Boot activé sans avoir un accès physique au système.

"Il s'agit du premier abus de cette vulnérabilité connu publiquement et dans la nature", a déclaré Martin Smolár, chercheur chez ESET. "Son exploitation est encore possible car les binaires affectés et valablement signés n'ont toujours pas été ajoutés à la liste de révocation UEFI."

Il ajoute aussi que, "BlackLotus profite de cette situation, en apportant ses propres copies de binaires légitimes - mais vulnérables - sur le système afin d'exploiter la vulnérabilité", ce qui ouvre effectivement la voie aux attaques BYOVD (Bring Your Own Vulnerable Driver).

Outre le fait qu'il est équipé pour désactiver des mécanismes de sécurité tels que BitLocker, Hypervisor-protected Code Integrity (HVCI) et Windows Defender, il est également conçu pour déposer un pilote de noyau et un téléchargeur HTTP qui communique avec un serveur de commande et de contrôle (C2) pour récupérer d'autres logiciels malveillants en mode utilisateur ou noyau.

Bien que la procédure complète de déploiement du bootkit soit actuellement inconnue, elle commence par un composant d'installation qui est chargé d'écrire les fichiers sur la partition système EFI, de désactiver HVCI et BitLocker, puis de redémarrer l'hôte.

Pour obtenir la persistance et installer le bootkit, CVE-2022-21894 est activé après le redémarrage. Par la suite, il est automatiquement lancé à chaque démarrage du système pour déployer le pilote du noyau.