Pesquisadores da empresa de segurança ESET descobriram que um bootkit UEFI chamado BlackLotus vem usando uma vulnerabilidade antiga e pode ser executado mesmo em sistemas Windows 11 totalmente atualizados com UEFI Secure Boot ativado.
UEFI Secure Boot é um recurso do firmware UEFI (Unified Extensible Firmware Interface), que é um sucessor do firmware BIOS (Basic Input/Output System) tradicional encontrado em computadores mais antigos. O Secure Boot foi projetado para garantir que o sistema seja inicializado apenas com software e firmware confiáveis. O bootkit, por outro lado, é um malware que infecta o processo de inicialização de um computador.
O BlackLotus foi anunciado e vendido em fóruns da dark web por US$ 5 mil desde pelo menos o início de outubro do ano passado, disse a ESET em um comunicado à imprensa. “Agora podemos apresentar evidências de que o bootkit é real e o anúncio não é apenas um alarme falso”, disse Martin Smolár, pesquisador da ESET que liderou a investigação sobre o bootkit, na nota.
Segundo a ESET, o BlackLotus aproveita uma vulnerabilidade que está presente há mais de um ano — conhecida como CVE-2022-21894 — para ignorar o UEFI Secure Boot e estabelecer persistência para o bootkit.
Apesar de a Microsoft ter lançado uma correção para a vulnerabilidade em janeiro do ano passado, o BlackLotus é capaz de explorá-la e permitir que os invasores desativem as medidas de segurança do sistema operacional, incluindo o BitLocker, HVCI e Windows Defender.
O bootkit ainda conseguiu explorar a vulnerabilidade após a correção de janeiro porque os binários validamente assinados ainda não foram adicionados à lista de revogação UEFI, o mecanismo para revogar os certificados digitais dos drivers UEFI.
Devido à complexidade de todo o ecossistema UEFI e problemas relacionados à cadeia de suprimentos, muitas das vulnerabilidades UEFI deixaram os sistemas vulneráveis mesmo muito tempo depois que as vulnerabilidades foram corrigidas, de acordo com a ESET.
Veja isso
Bugs em UEFI afetam milhões de dispositivos de marcas renomadas
MSI ‘quebra’ acidentalmente o Secure Boot de 290 placas-mãe
O objetivo principal do BlackLotus, depois de instalado, é iniciar a implantação de um driver de kernel que serve para proteger o bootkit contra qualquer tentativa de eliminá-lo. Ele também implanta um downloader HTTP que permite a comunicação com o servidor de comando e controle (C&C) do invasor e tem a capacidade de carregar outras cargas úteis no modo de usuário ou no modo kernel.
“Nossa investigação começou com alguns acertos sobre o que acabou sendo, com alto nível de confiança, o componente de modo de usuário BlackLotus em nossa telemetria no final de 2022”, disse Smolár. “Após uma avaliação inicial, os padrões de código encontrados nas amostras nos levaram à descoberta de seis instaladores BlackLotus. Isso nos permitiu explorar toda a cadeia de execução e perceber que o que estávamos lidando aqui não era apenas um malware comum.”
A equipe de pesquisa da ESET recomenda manter os sistemas e seus produtos de segurança atualizados para aumentar a chance de uma ameaça ser interrompida logo no início, antes que seja capaz de atingir a persistência pré-sistema operacional.
