Naprakész Windows 11-es rendszereket is képes megfertőzni a BlackLotus bootkit új verziója

A BlackLotus UEFI bootkit továbbfejlesztett verziója képes megkerülni a Secure Boot védelmi mechanizmust még egy teljesen naprakész Windows 11-es rendszeren is.  A kártevő károsítja a BitLocker adatvédelmi funkciót, a Microsoft Defender vírusirtót és a Windows Kernel védelmére szolgáló HVCI-t (Hypervisor-protected Code Integrity) is.

Az UEFI (Unified Extensible Firmware Interface) az a szoftver, amely összeköti az operációs rendszert az azt futtató hardverrel. Ez egy alacsony szintű kód, amely a számítógép bekapcsolásakor végrehajtásra kerül, és meghatározza a rendszerindítási sorrendet, mielőtt az operációs rendszer betöltődne.

Az ESET biztonsági kutatói megerősítették, hogy a kártevő a CVE-2022-21894 sebezhetőséget kihasználva képes megkerülni a Secure Boot mechanizmust. A támadás egy telepítőprogram futtatásával kezdődik, amely a bootkit fájljait az EFI rendszerpartícióra telepíti, letiltja a HVCI és a BitLocker védelmet, és újraindítja a gépet. Az UEFI Secure Boot funkcióval rendelkező gépeken a perzisztencia a kezdeti újraindítás után a sérülékenység kihasználásával és a MOK (Machine Owner Key) bejegyzésével érhető el. Az ”önaláírt” UEFI bootkit egy újabb újraindítás után elindul, és a rosszindulatú kernel driver és a HTTP letöltő elhelyezésével befejeződik a kártevő telepítése.

A kép forrása: BleepingComputer.com
(Teljes méretért kattints a képre!)

Az ESET szerint a BlackLotus telepítője lehet online vagy offline, de az offline változatok hordozzák a sebezhető Windows binárisokat. Az online változat “közvetlenül a Microsoft szimbólumtárolójából” tölti le a Windows binárisokat.

A kutatók szerint az alábbi három fájllal él vissza a bootkit:

  • https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
  • https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
  • https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

 

A CVE-2022-21894 exploit kódja már több mint fél éve, 2022 augusztusa óta nyilvánosan elérhető, nagyrészt figyelmen kívül hagyták a problémát. Bár a biztonsági rés 2022 júniusában befoltozásra került, a javítás nem tűnt elegendőnek, mivel az UEFI DBX még nem frissült a Secure Boot funkcióval rendelkező rendszerek indításakor használt nem megbízható kulcsokkal és bináris hash-ekkel.

Tavaly a kutatók több olyan UEFI sebezhetőséget is nyilvánosságra hoztak, amelyek szintén kihasználhatók a Secure Boot letiltására, ezek közül néhány azonban még mindig nem került javításra, mivel a gyártók már nem támogatják már az érintett eszközöket.

A BlackLotus az első nyilvánosságra hozott UEFI bootkit, amely megkerüli a Secure Bootot, és a kiberbűnözők világához köthető.

(bleepingcomputer.com)