Το WeLiveSecurity, η ερευνητική πτέρυγα ασφαλείας της ESET anti-malware, δημοσίευσε χθες την έκθεσή της σχετικά με την ευπάθεια ασφαλείας του BlackLotus. Ενώ αυτό το ελάττωμα ασφαλείας δεν είναι ακριβώς νέο, καθώς κάνει τον γύρο του Διαδικτύου από μέσα του περασμένου έτους, αυτό που κάνει αυτό το bootkit επικίνδυνο είναι η ικανότητά του να παρακάμπτει τα συστήματα Ασφαλούς εκκίνησης ακόμη και σε πλήρως ενημερωμένα συστήματα Windows 11 (πράγμα που σημαίνει ότι οι προηγούμενες εκδόσεις των Windows ενδέχεται να είναι επίσης ευάλωτες).
Και δεν σταματά εκεί φυσικά, καθώς η BlackLotus κάνει επίσης τροποποιήσεις στο μητρώο για να απενεργοποιήσει την ακεραιότητα κώδικα που προστατεύεται από Hypervisor (HVCI), η οποία είναι μια δυνατότητα Ασφάλειας που βασίζεται σε εικονικοποίηση (VBS). καθώς και κρυπτογράφηση BitLocker. Απενεργοποιεί επίσης το Windows Defender χειραγωγώντας το Early Launch Anti-Malware πρόγραμμα οδήγησης και πρόγραμμα οδήγησης φίλτρου συστήματος αρχείων Windows Defender. Ο απώτερος σκοπός είναι η ανάπτυξη ενός προγράμματος λήψης HTTP που παραδίδει τα κακόβουλα ωφέλιμα φορτία.
Αυτή η εκμετάλλευση του bootkit είναι ένα θέμα ευπάθειας εκκίνησης ασφαλείας ενός έτους στο πλαίσιο του CVE-2022-21894. Αν και αυτή η ευπάθεια είχε ήδη διορθωθεί πέρυσι τον Ιανουάριο, η ESET σημειώνει ότι η εκμετάλλευση αυτού είναι ακόμα δυνατή καθώς τα υπογεγραμμένα δυαδικά αρχεία δεν έχουν προστεθεί ακόμη στη λίστα ανάκλησης του UEFI.
Ακολουθεί η περίληψη του bootkit BlackLotus σύμφωνα με την ESET:
- Είναι σε θέση να εκτελείται στα πιο πρόσφατα, πλήρως ενημερωμένα συστήματα Windows 11 με ενεργοποιημένη την Ασφαλή εκκίνηση του UEFI.
- Εκμεταλλεύεται μια ευπάθεια άνω του ενός έτους (CVE-2022-21894) για να παρακάμψει το UEFI Secure Boot και να ρυθμίσει την επιμονή για το bootkit. Αυτή είναι η πρώτη δημόσια γνωστή κατάχρηση αυτής της ευπάθειας.
- Αν και το θέμα ευπάθειας επιδιορθώθηκε στην ενημέρωση Ιανουαρίου 2022 της Microsoft, η εκμετάλλευσή του εξακολουθεί να είναι δυνατή καθώς τα επηρεαζόμενα, έγκυρα υπογεγραμμένα δυαδικά αρχεία δεν έχουν ακόμη προστεθεί στη λίστα ανάκλησης του UEFI. Η BlackLotus εκμεταλλεύεται αυτό, φέρνοντας τα δικά της αντίγραφα νόμιμων –αλλά ευάλωτων– δυαδικών αρχείων στο σύστημα προκειμένου να εκμεταλλευτεί την ευπάθεια.
- Είναι σε θέση να απενεργοποιήσει τους μηχανισμούς ασφαλείας του λειτουργικού συστήματος όπως το BitLocker, το HVCI και το Windows Defender.
- Μόλις εγκατασταθεί, ο κύριος στόχος του bootkit είναι να αναπτύξει ένα πρόγραμμα οδήγησης πυρήνα (το οποίο, μεταξύ άλλων, προστατεύει το bootkit από την αφαίρεση) και ένα πρόγραμμα λήψης HTTP υπεύθυνου για την επικοινωνία με το C&C και ικανό να φορτώσει επιπλέον ωφέλιμα φορτία σε λειτουργία χρήστη ή πυρήνα .