La empresa de ciberseguridad ESET afirma que la última variante de BlackLotus tiene la capacidad de comprometer un sistema Windows 11 completamente actualizado con UEFI Secure Boot habilitado.
Los kits de arranque UEFI a menudo se consideran una amenaza poderosa que puede permitir que un pirata informático se haga cargo del proceso de arranque del sistema operativo y deshabilite varios mecanismos de seguridad. Aunque ha habido varios intentos maliciosos en esta área por parte de EESpecter, MoonBounce, MosaicRegressor, FinSpy y LoJax, investigaciones recientes revelaron el primer bootkit UEFI divulgado públicamente que evita el arranque seguro completamente actualizado.
BlackLotus, observado por primera vez en octubre de 2022, es el primer malware conocido que abusa públicamente de CVE-2022-21894 (también conocido como Baton Drop), una vulnerabilidad de omisión de la función de seguridad de arranque seguro en Windows.
Aunque Microsoft corrigió esta vulnerabilidad en el lanzamiento del martes de parches de enero de 2022, los sistemas aún están en riesgo ya que los binarios UEFI vulnerables aún no se revocan de la lista de revocación de UEFI.
Modus operandi
Según el informe, el ataque comienza con la ejecución de un componente de instalación en la máquina de destino. El instalador puede estar fuera de línea (con archivos binarios de Windows incrustados) o en línea (descarga los archivos binarios de Windows del servidor C2).
El objetivo del instalador es escribir los archivos en la partición del sistema EFI, deshabilitar la seguridad HVCI y BitLocker y reiniciar la máquina.
Durante el primer reinicio, abusa de CVE-2022-21894 para eludir las protecciones de arranque seguro de UEFI y configurar la persistencia. Posteriormente, registra la clave de propietario de la máquina (MOK) de los atacantes y se reinicia nuevamente.
Durante el próximo reinicio, se ejecuta el kit de arranque UEFI autofirmado y se implementan las cargas del controlador del kernel y del descargador HTTP.
Esto permite la descarga y ejecución de más componentes del controlador y del modo de usuario y brinda protección contra la desinstalación del bootkit.
Este bootkit representa un salto adelante en términos de persistencia, evasión y control total de los dispositivos de destino. Además, debido al complejo ecosistema UEFI y las dependencias asociadas de la cadena de suministro, los expertos indican que la reparación completa y efectiva de la vulnerabilidad explotada por BlackLotus puede llevar mucho tiempo. Se sugiere adoptar un enfoque de seguridad proactivo, incluido el uso de soluciones de firewall y antimalware estándar y el aprovechamiento de los conocimientos de inteligencia de amenazas para minimizar el posible impacto de la amenaza.
Las III Jornadas STIC son organizadas por el Centro Criptológico Nacional, CCN, el Instituto Nacional de Ciberseguridad, INCIBE, y el Mando Conjunto del Ciberespacio de España; junto con el Departamento Nacional de Investigaciones, DNI, de la República Dominicana.