I ricercatori di ESET hanno pubblicato la prima analisi di un bootkit UEFI in grado di bypassare UEFI Secure Boot, una funzione di sicurezza critica di Windows 11. Questo malware ha già un nome: BlackLotus.
BlackLotus, un bootkit UEFI venduto sui forum di hacking per circa 5.000 dollari, è ora in grado di aggirare il Secure Boot di Windows 11, diventando così il primo malware conosciuto in grado di funzionare sui sistemi Windows anche con la funzione di sicurezza del firmware attivata.
UEFI è l’acronimo di Unified Extensible Firmware Interface ed è il successore del tradizionale firmware BIOS (Basic Input/Output System). Secure Boot è progettato per garantire che il sistema si avvii solo con software e firmware affidabili. Bootkit, invece, è un software dannoso che infetta il processo di avvio di un computer.
BlackLotus diventa uno dei malware più pericolosi del mondo
I bootkit UEFI sono minacce molto potenti, che controllano completamente il processo di avvio del sistema operativo e sono quindi in grado di disabilitare vari meccanismi di sicurezza del sistema operativo e di distribuire i propri payload del kernel o in modalità utente nelle prime fasi di avvio del PC. Ciò consente loro di operare in modo molto furtivo e con privilegi elevati. Finora, solo alcuni sono stati scoperti in natura e descritti pubblicamente.
In particolare, BlackLotus è in grado di disattivare i meccanismi di sicurezza del sistema operativo, come BitLocker, HVCI e Windows Defender. Una volta installato, lo scopo principale del bootkit è quello di distribuire un driver del kernel (che, tra l’altro, protegge il bootkit dalla cancellazione) e un downloader HTTP responsabile della comunicazione con il server Command and Control e in grado di caricare payload aggiuntivi in modalità utente o kernel.
BlackLotus sarebbe molto attivo nell’Europa Orientale
Per operare, BlackLotus sfrutterebbe una vulnerabilità vecchia di un anno, CVE-2022-21894, per aggirare il processo di avvio sicuro e stabilire la persistenza. Secondo quanto riferito, Microsoft l’ha risolta nel gennaio 2022, ma ha dimenticato di aggiungere i binari interessati all’elenco di revoca UEFI.
BlackLotus è programmato in linguaggio assembly e C, ha una dimensione di 80 kilobyte e, secondo quanto riferito, è già stato utilizzato per infettare PC in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.
I primi dettagli su BlackLotus sono apparsi nell’ottobre 2022. Sergey Lozhkin, ricercatore di sicurezza di Kaspersky, lo ha descritto come un sofisticato software criminale. Per ora, ESET ritiene che il malware non sia ancora stato utilizzato da molti hacker, il che potrebbe renderne più facile l’eradicazione.
Come sradicare BlackLotus dai PC infetti?
Sebbene BlackLotus sia furtivo e disponga di molte protezioni anti-cancellazione, i ricercatori di ESET ritengono di aver scoperto una debolezza nel modo in cui il downloader HTTP passa i comandi al driver del kernel, che potrebbe consentire agli utenti di rimuovere il bootkit.
“Nel caso in cui il downloader HTTP voglia passare un comando al driver del kernel, crea semplicemente una sezione denominata, scrive un comando con i dati associati al suo interno e attende che il comando venga elaborato dal driver creando un evento denominato e aspettando che il driver lo attivi (o lo segnali)”, spiega ESET.
In questo modo, il driver del kernel supporta sia i comandi di installazione che di disinstallazione e “può essere indotto a disinstallare completamente il bootkit creando i suddetti oggetti denominati e inviando il comando di disinstallazione”.
ESET afferma che un semplice aggiornamento dell’elenco di revoca UEFI attenuerebbe la minaccia rappresentata da BlackLotus, ma non rimuoverebbe il bootkit dai sistemi infetti. Per questo sarebbe necessaria una nuova installazione di Windows e la rimozione della chiave MOK registrata dagli aggressori (utilizzando l’utility mokutil, ad esempio).
“Il consiglio migliore, naturalmente, è quello di mantenere il sistema e il prodotto di sicurezza aggiornati per aumentare le possibilità di bloccare una minaccia in fase iniziale, prima che sia in grado di raggiungere i sistemi pre-OS”, conclude Smolár, ricercatore ESET.
