Avec le démarrage sécurité de Windows, on pensait que la protection de l’OS était assurée. Que nenni, des chercheurs d’ESET ont identifié un bootkit, baptisé BlackLotus, capable de contourner une fonction essentielle de l’OS, l’UEFI (Unified Extensible Firmware Interface) Secure Boot. Le bootkit se sert d’une vulnérabilité datant d’un an et il est capable de fonctionner sur Windows 11.

UEFI Secure Boot est une fonctionnalité de l’UEFI, qui a succédé au BIOS (Basic Input/Output System) traditionnel présent sur les anciens ordinateurs. En principe, le Secure Boot garantit que le système ne démarre qu'avec des logiciels et des firmwares fiables. Quant au bootkit, il s’agit d’un malware qui infecte le processus de démarrage d'un ordinateur. « Depuis début octobre 2022 au moins, BlackLotus a été annoncé et vendu 5 000 dollars sur des forums clandestins », a déclaré ESET dans un communiqué. « Nous avons désormais la preuve que le bootkit est réel, et que la publicité n'est pas une arnaque », a déclaré, Martin Smolár, le chercheur d'ESET qui a dirigé l'enquête.

Une ancienne vulnérabilité exploitée

BlackLotus tire parti d'une vulnérabilité présente depuis plus d'un an (portant la référence CVE-2022-21894) pour contourner l’UEFI Secure Boot et établir la persistance du bootkit. C’est le premier cas d'exploitation publique de cette vulnérabilité dans une situation réelle. Même si Microsoft a publié un correctif pour cette vulnérabilité en janvier 2022, BlackLotus est capable de l'exploiter et offre aux attaquants de désactiver les mesures de sécurité du système d'exploitation, y compris BitLocker, l'intégrité du code Hypervisor-Protected (HVCI) et Windows Defender.

Le bootkit a pu continuer à exploiter la vulnérabilité après le correctif de janvier, car les binaires valablement signés n'ont toujours pas été ajoutés à la liste de révocation UEFI, le mécanisme permettant de révoquer les certificats numériques des pilotes UEFI. Selon ESET, en raison de la complexité de l'ensemble de l'écosystème UEFI et des problèmes de supply chain qui y sont liés, les systèmes sont restés vulnérables aux nombreuses failles UEFI, même longtemps après leur correction.

Une charge utile avec piratage du kernel

L'objectif principal de BlackLotus, après son installation, est de lancer le déploiement d'un pilote de kernel, qui sert à protéger le bootkit contre toute tentative d'élimination. Il diffuse également un téléchargeur HTTP qui set à communiquer avec le serveur de commande et de contrôle et qui a la capacité de télécharger d'autres charges utiles en mode utilisateur ou en mode kernel. « Notre enquête a commencé par quelques occurrences de ce qui s'est avéré être (avec un niveau de confiance élevé) le composant en mode utilisateur de BlackLotus - un téléchargeur HTTP - dans notre télémétrie fin 2022 », a déclaré M. Smolár. « Après une évaluation initiale, les modèles de code trouvés dans les échantillons ont débouché sur la découverte de six installateurs BlackLotus. Cela nous a permis d'explorer l'ensemble de la chaîne d'exécution et de réaliser que nous n’avions pas affaire à un logiciel malveillant ordinaire », a-t-il ajouté.

Certains paquets d'installation de BlackLotus, tels qu'analysés par ESET, évitent de procéder à l'installation du bootkit dans le cas où l'hôte affecté emploie des paramètres régionaux associés à l'Arménie, la Biélorussie, le Kazakhstan, la Moldavie, la Russie ou l'Ukraine. « Le faible nombre d'échantillons de BlackLotus que nous avons pu obtenir, à la fois à partir de sources publiques et de notre télémétrie, nous amène à penser que, pour l’instant, un petit nombre d'acteurs de la menace ont commencé à l'utiliser », a déclaré Martin Smolár. « Mais cela risque de changer rapidement si ce bootkit tombe entre les mains de groupes de criminels, compte tenu de sa facilité de déploiement et des capacités des groupes de criminels à diffuser des logiciels malveillants via leurs réseaux de zombies », a encore déclaré les experts Ils recommandent de maintenir les systèmes et ses produits de sécurité à jour afin d’avoir plus de chance de bloquer une attaque dès le départ, avant l’installation persistante du bootkit en amont de l’OS.