O código-fonte do bootkit UEFI BlackLotus vazou online, permitindo uma maior compreensão de um malware que tem causado grande preocupação entre empresas, governos e a comunidade de segurança cibernética.
BlackLotus é um bootkit UEFI que visa o Windows, que contorna o Secure Boot em instalações totalmente atualizadas do Windows 11, evita softwares de segurança, persiste em um sistema infectado e executa payloads com o mais alto nível de privilégios no sistema operacional.
Suas funções incluem a incapacitação do recurso de proteção de dados BitLocker, o Microsoft Defender Antivirus e a Integridade do Código Protegido por Hypervisor (HVCI) - também conhecido como recurso de Integridade de Memória que protege contra tentativas de explorar o Kernel do Windows.
O Secure Boot do Windows é um recurso de segurança que bloqueia inicializadores de boot não confiáveis em computadores com firmware da Interface de Firmware Extensível Unificada (UEFI) e um chip de Plataforma Confiável (TPM).
Este recurso de segurança foi projetado para evitar que rootkits sejam carregados durante o processo de inicialização e evitem a detecção por aplicativos em execução no Windows.
BlackLotus foi o primeiro exemplo descoberto de um bootkit UEFI que conseguia contornar o mecanismo Secure Boot e desativar as proteções de segurança de nível de OS.
Isso foi realizado inicialmente explorando a vulnerabilidade "Baton Drop" (
CVE-2022-21894
), que a Microsoft corrigiu em janeiro de 2022.
Foram encontradas formas de contornar a atualização de segurança, permitindo que o BlackLotus continuasse a operar e forçando a Microsoft a correr atrás revogando adicionais Gerenciadores de Boot do Windows.
Isso levou a outra atualização de segurança para
CVE-2023-24932
(outro Bypass de Recurso de Segurança de Boot Seguro) que revogou mais gerenciadores malignos de boot.
No entanto, a Microsoft desativou a atualização de segurança para
CVE-2023-24932
por padrão, exigindo que os usuários do Windows executassem uma instalação manual longa e um pouco complicada para corrigir seus sistemas.
Como a Microsoft alertou que a instalação incorreta do conserto de segurança poderia fazer com que seu sistema não inicializasse ou fosse recuperável a partir da mídia de instalação do Windows, muitos decidiram não instalar a atualização, deixando dispositivos vulneráveis a ataques de bypass do Secure Boot.
"Se você utilizar o Secure Boot e realizar incorretamente as etapas neste artigo, pode ser que não consiga iniciar ou recuperar seu dispositivo a partir da mídia", explicou a Microsoft em um boletim de suporte.
"Isso pode impedir que você use a mídia de recuperação, como discos ou unidades externas, ou a recuperação de bot inicialização pela rede, se a mídia não tiver sido atualizada corretamente."
Devido à preocupação e furtividade do malware BlackLotus, tanto a Microsoft quanto a NSA compartilharam orientações sobre como detectar e remover o bootkit do Windows.
BlackLotus foi inicialmente vendido em fóruns de hackers por apenas $ 5.000, permitindo que atores de ameaças de todas as habilidades tivessem acesso a malwares geralmente associados a grupos de hackers patrocinados pelo estado.
No entanto, o ator da ameaça manteve o código-fonte privado, oferecendo reconstruções por $ 200 para clientes que queriam personalizar o bootkit.
Hoje, a empresa de segurança Binarly informou à BleepingComputer que o código-fonte do bootkit UEFI BlackLotus vazou no GitHub pelo usuário 'Yukari', tornando a ferramenta amplamente disponível para qualquer um.
Yukari diz que o código-fonte foi modificado para remover a vulnerabilidade Baton Drop e, em vez disso, usa o bootlicker UEFI rootkit, baseado nos rootkits de ameaça persistente avançada (APT) CosmicStrand, MoonBounce e ESPECTRE UEFI.
"O código-fonte vazado não está completo e contém principalmente a parte de rootkit e código de bootkit para contornar o Secure Boot", afirmou o co-fundador e CEO da Binarly, Alex Matrosov.
Matrosov explica que as técnicas do bootkit não são mais novas, mas o vazamento do código-fonte facilita para os autores de ameaças combinarem o bootkit com novas vulnerabilidades de gerenciadores de inicialização, conhecidas ou desconhecidas.
"A maioria desses truques e técnicas são conhecidos há anos e não apresentam impacto significativo", disse Matrosov à BleepingComputer em uma conversa sobre o vazamento.
"No entanto, o fato de ser possível combiná-los com novos exploits, como a campanha BlackLotus fez, foi algo inesperado para a indústria e mostra as reais limitações das atenuações atuais abaixo do sistema operacional."
É importante salientar que, embora a Microsoft tenha abordado os bypasses do Secure Boot em
CVE-2022-21894
e
CVE-2023-24932
, a atualização de segurança é opcional e os consertos estão desativados por padrão.
Para proteger sistemas contra a ameaça do bootkit UEFI BlackLotus, certifique-se de seguir o abrangente conselho de mitigação que a NSA publicou no mês passado.
Com o código-fonte do bootkit agora amplamente disponível, também é possível que autores de malware competentes possam criar variantes mais potentes que podem contornar medidas de contramedida existentes e futuras.
Matrosov disse à BleepingComputer que este vetor de ataque específico tem benefícios significativos para os invasores e só se tornará mais sofisticado e complexo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...