Con el inicio de seguridad de Windows, pensamos que se aseguró la protección del sistema operativo. Que los investigadores de ESET han identificado un botín, llamado BlackLotus, capaz de omitir una función ósea esencial, la UEFI (interfaz de firmware extensible unificable) Boot seguro. El Bootkit utiliza una vulnerabilidad que data de un año y puede operar en Windows 11.

UEFI Secure Boot es una funcionalidad de la UEFI, que sucedió el BIOS tradicional (entrada/salida básica) presente en las computadoras antiguas. En principio, el arranque seguro garantiza que el sistema solo comienza con software y firmware confiables. En cuanto al Bootkit, es un malware que infecta el proceso de inicio de una computadora. "Al menos desde principios de octubre de 2022, Blacklotus ha sido anunciado y vendió $ 5,000 en foros ilegales", dijo Eset en un comunicado. "Ahora tenemos pruebas de que el botín es real y que la publicidad no es una estafa", dijo Martin Smolár, investigador de Eset que dirigió la investigación.

Índice
  1. Una vieja vulnerabilidad explotada
  2. Una carga útil con piratería de núcleos

Una vieja vulnerabilidad explotada

Blacklotus ha aprovechado una vulnerabilidad presente durante más de un año (con la referencia CVE-2022-21894) para evitar el arranque seguro UEFI y establecer la persistencia del botín. Este es el primer caso de explotación pública de esta vulnerabilidad en una situación real. Incluso si Microsoft Publicado un correctivo para esta vulnerabilidad en enero de 2022, BlackLotus es capaz de explotarlo y ofrece a los atacantes desactivar las medidas de seguridad del sistema operativo, incluido BitLocker, la integridad del código Hypervisor-Protecté (HVCI) y el defensor de Windows.

El Bootkit pudo continuar explotando la vulnerabilidad después de la corrección de enero, porque los binarios firmados válidamente aún no se han agregado a la lista de revocación de la UEFI, el mecanismo para revocar los certificados digitales de los pilotos UEFI. Según ESET, debido a la complejidad de todo el ecosistema de la UEFI y los problemas de la cadena de suministro que están vinculados a él, los sistemas permanecieron vulnerables a los muchos defectos de la UEFI, incluso mucho después de su corrección.

Una carga útil con piratería de núcleos

El objetivo principal de Blacklotus, después de su instalación, es lanzar la implementación de un piloto de núcleo, que se utiliza para proteger el botín de cualquier intento de eliminación. También transmite un descargador HTTP que se establece para comunicarse con el servidor de control y control y que tiene la capacidad de descargar otras cargas útiles en modo de usuario o en modo kernel. "Nuestra encuesta comenzó con algunas ocurrencias de lo que resultó ser (con un alto nivel de confianza) el componente en el modo de usuario de Blacklotus, un descargador HTTP, en nuestra telemetría a fines de 2022", dijo Smolár. “Después de una evaluación inicial, los modelos de código encontrados en las muestras condujeron al descubrimiento de seis instaladores de Blacklotus. Esto nos permitió explorar toda la cadena de ejecución y darnos cuenta de que no estábamos lidiando con malware ordinario ", agregó.

Ciertos paquetes de instalación de Blacklotus, según lo analizado por ESET, evite instalar el arranque en caso de que el anfitrión asignado emplee parámetros regionales asociados con Armenia, Bielorrusia, Kazajstán, Moldavia, Rusia o Ucrania. "El pequeño número de muestras de Blacklotus que pudimos obtener, tanto de fuentes públicas como de nuestra telemetría, nos lleva a pensar que, por el momento, un pequeño número de actores de amenaza han comenzado a usarlo", dijo Martin Smolár ". Pero eso puede cambiar rápidamente si este botín cae en manos de grupos de delincuentes, dada su facilidad de despliegue y las capacidades de grupos de delincuentes para distribuir malware a través de sus redes zombies ", dijeron expertos que recomiendan mantener los sistemas y su altura de -Dacta productos de seguridad para tener más probabilidades de bloquear un ataque desde el principio, antes de la instalación persistente del Bootkit aguas arriba del sistema operativo.