Un kit de arranque sigiloso de interfaz de firmware extensible unificada (UEFI) llamado BlackLotus se ha convertido en el primer malware conocido públicamente capaz de eludir las defensas de arranque seguro , lo que lo convierte en una amenaza potente en el panorama cibernético.
“Este bootkit puede ejecutarse incluso en sistemas Windows 11 completamente actualizados con UEFI Secure Boot habilitado”, dijo la empresa de ciberseguridad eslovaca ESET en un informe compartido con The Hacker News.
Los bootkits UEFI se implementan en el firmware del sistema y permiten un control total sobre el proceso de inicio del sistema operativo (SO), lo que hace posible deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas útiles arbitrarias durante el inicio con privilegios elevados.
Ofrecido a la venta a $ 5,000 (y $ 200 por cada nueva versión posterior), el potente y persistente juego de herramientas está programado en ensamblador y C y tiene un tamaño de 80 kilobytes. También cuenta con capacidades de geofencing para evitar infectar computadoras en Armenia, Bielorrusia, Kazajstán, Moldavia, Rumania, Rusia y Ucrania.
Los detalles sobre BlackLotus surgieron por primera vez en octubre de 2022, y el investigador de seguridad de Kaspersky, Sergey Lozhkin, lo describió como una solución sofisticada de software delictivo.
“Esto representa un pequeño ‘salto’ hacia adelante, en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, el potencial de un impacto mucho mayor en las formas de persistencia, evasión y/o destrucción”, Scott Scheferman de Eclypsium.
BlackLotus, en pocas palabras, explota una falla de seguridad rastreada como CVE-2022-21894 (también conocida como Baton Drop ) para eludir las protecciones de arranque seguro de UEFI y configurar la persistencia. Microsoft abordó la vulnerabilidad como parte de su actualización del martes de parches de enero de 2022.
Una explotación exitosa de la vulnerabilidad, según ESET, permite la ejecución de código arbitrario durante las primeras fases de arranque, lo que permite que un actor de amenazas lleve a cabo acciones maliciosas en un sistema con UEFI Secure Boot habilitado sin tener acceso físico a él.
“Este es el primer abuso conocido públicamente de esta vulnerabilidad”, dijo Martin Smolár, investigador de ESET. “Su explotación aún es posible ya que los binarios afectados y firmados válidamente aún no se han agregado a la lista de revocación de UEFI “.
“BlackLotus aprovecha esto, trayendo sus propias copias de binarios legítimos, pero vulnerables, al sistema para explotar la vulnerabilidad”, allanando efectivamente el camino para los ataques BYOVD (Bring Your Own Vulnerable Driver ) .
Además de estar equipado para desactivar mecanismos de seguridad como BitLocker, Hypervisor-protected Code Integrity ( HVCI ) y Windows Defender, también está diseñado para colocar un controlador de kernel y un descargador HTTP que se comunica con un servidor de comando y control (C2) para recuperar malware adicional en modo usuario o modo kernel.
El modus operandi exacto utilizado para implementar el kit de arranque aún se desconoce, pero comienza con un componente de instalación que es responsable de escribir los archivos en la partición del sistema EFI , deshabilitar HVCI y BitLocker, y luego reiniciar el host.
El reinicio es seguido por la activación de CVE-2022-21894 para lograr la persistencia e instalar el kit de arranque, después de lo cual se ejecuta automáticamente en cada inicio del sistema para implementar el controlador del kernel.
Si bien el controlador tiene la tarea de iniciar el descargador HTTP en modo de usuario y ejecutar las cargas útiles en modo kernel de la próxima etapa, este último es capaz de ejecutar comandos recibidos del servidor C2 a través de HTTPS.
Esto incluye descargar y ejecutar un controlador de kernel, DLL o un ejecutable regular; obteniendo actualizaciones de bootkit e incluso desinstalando el bootkit del sistema infectado.
“En los últimos años se han descubierto muchas vulnerabilidades críticas que afectan la seguridad de los sistemas UEFI”, dijo Smolár. “Desafortunadamente, debido a la complejidad de todo el ecosistema UEFI y los problemas relacionados con la cadena de suministro, muchas de estas vulnerabilidades han dejado a muchos sistemas vulnerables incluso mucho tiempo después de que se hayan solucionado las vulnerabilidades, o al menos después de que nos dijeron que se habían solucionado”.
“Era solo cuestión de tiempo antes de que alguien aprovechara estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado”.
Fuente: The Hacker News