BlackLotus, premier bootkit connu à pouvoir contourner toutes les protections de Windows 11

Raccoon

Une « simple » question de liste

Microsoft avait largement communiqué au lancement de Windows 11 sur la sécurité renforcée. Cette dernière est cependant mise à mal par le premier bootkit connu à pouvoir passer toutes ses défenses – y compris le Secure Boot – dans le but d’introduire une charge virale.

BlackLotus est un bootkit dont les premières détections ont été faites par le chercheur en sécurité Sergey Lozhkin de chez Kaspersky, en octobre dernier. Mais de l’avis d’ESET, qui vient de publier un article dédié, cette nouvelle version représente un grand bond en avant « en termes de facilité d’utilisation, de mise à l’échelle, d’accessibilité et, surtout, de potentiel pour un impact beaucoup plus important en matière de persistance, d’évasion et de destruction ».

Le danger vient également de son prix, car BlackLotus est vendu à peine 5 000 dollars sur certains sites spécialisés, auxquels s’ajoutent 200 dollars pour chaque version ultérieure. Pour ce tarif, les possibilités offertes sont nombreuses.

Ce que sait faire BlackLotus

BlackLotus est un bootkit, c’est-à-dire un morceau de code ayant la capacité de s’installer très tôt dans la chaine de démarrage de l’ordinateur. Si tôt qu’il peut se charger avant même la grande majorité des sécurités, y compris le Secure Boot, qui a justement pour objectif de valider l’intégrité des différents éléments de la chaine.

Son objectif premier est d’exploiter la vulnérabilité CVE-2022-21894, nommée aussi Baton Drop. Cette faille a été corrigée par Microsoft il y a plus d’un an (en janvier 2022). En cas d’exploitation réussie, il installe un pilote en espace noyau et un téléchargeur HTTP dont le rôle est de communiquer avec un serveur command-and-control (C2) pour recevoir des instructions.

Une fois en place, il écrit des fichiers dans la partition EFI système et provoque un redémarrage de l’ordinateur. De là, BlackLotus peut contourner toutes les dernières défenses ajoutées dans Windows, y compris BitLocker, Windows Defender et même Hypervisor-protected Code Integrity (HVCI), dont le rôle est justement de s’assurer qu’aucun pilote non-signé ne s’exécute en espace noyau. La faille est alors transformée en « arme » et exploitée par le pilote en espace noyau pour atteindre la persistance.

À ce moment-là, le système est infecté et les commandes du serveur C2 peuvent arriver. Le téléchargeur – qui s’introduit dans winlogin.exe – va récupérer la charge virale correspondant aux besoins des pirates et le bootkit peut être supprimé pour minimiser les traces. Les fichiers téléchargés peuvent être de n’importe quel type, comme un autre pilote en espace noyau, une DLL ou encore un exécutable plus classique.

BlackLotus possède des défenses contre les antivirus et les outils de débogage, ainsi que des techniques d’obscurcissement. Les fichiers inscrits dans la partition EFI ne peuvent pas être retirés sans provoquer un écran bleu. Rien d’incroyable cependant selon ESET, car ces défenses peuvent être facilement contournées avec « peu d’efforts ».

Détails et mystères

BlackLotus pèse environ 80 Ko et est constitué de code en assembleur et en C. Point intéressant, noté par ESET, il dispose de capacités de géorepérage pour éviter d’infecter des machines situées en Arménie, au Bélarus, au Kazakhstan, en Moldavie, en Roumanie, en Russie et en Ukraine.

Selon la société de sécurité, on ne sait pas encore comment BlackLotus est installé sur une machine en premier lieu. On suppose qu’il est envoyé par des moyens traditionnels, potentiellement pendant des campagnes de harponnage, c’est-à-dire d’hameçonnage très ciblé.

Le constat n’en est pas moins là : BlackLotus est capable de s’exécuter correctement sur un Windows 11 disposant des dernières mises à jour et avec toutes les protections activées.

Comment une telle exploitation est-elle possible, puisque la faille CVE-2022-21894 a été corrigée il y a plus d’un an ? C’est tout le problème de l’infrastructure du Secure Boot, selon ESET. BlackLotus s’installe en effet avec une signature authentique et est donc reconnu comme élément légitime de la chaine de démarrage.

En outre, le bootkit télécharge les anciennes versions des fichiers concernés et possédant encore la faille. Problème, ces fichiers n’ont pas été inscrits sur la liste de révocation UEFI, permettant l’exploitation de la vulnérabilité sans que le système trouve à y redire. Toujours selon ESET d’ailleurs, un POC (proof-of-concept) était apparu dès août 2022. Au vu des premières détections de BlackLotus quelques mois plus tard, il est probable que les pirates aient repris ce POC en ne l’adaptant que légèrement pour leurs besoins.

Dès lors, pourquoi cette révocation prend-elle du temps ? Parce qu’on ne peut pas interdire aussi simplement des fichiers potentiellement encore utilisés par de très nombreuses machines, au risque de provoquer divers plantages chez de nombreuses personnes. La période de contrôle prend du temps, et les mises à jour de la liste de révocation sont fournies avec les correctifs mensuels de sécurité par Microsoft.

Pas 36 solutions

Il n’y a guère de solution efficace pour supprimer BlackLotus d’un système, en dehors de la réinstallation complète de Windows après formatage. Mieux vaut donc prévenir que guérir, en s’assurant déjà que l’on utilise un système à jour et un antivirus disposant de sa dernière base pour détecter BlackLotus avant qu’il puisse entrer en action.

On ignore son mode de distribution, mais on peut répéter une nouvelle fois le conseil élémentaire en matière de sécurité : ne pas lancer un exécutable dont on n’est pas certain qu’il provient d’une source authentique.

Pour ESET cependant, ce n’était qu’une question de temps avant qu’un logiciel malveillant soit capable de profiter de toutes les craquelures signalées dans Secure Boot.

Source : nextinpact.com

Un Ancien Utilisateur

80ko et ça fou un bordel pas possible, beau travail

@Raccoon a dit dans BlackLotus, premier bootkit connu à pouvoir contourner toutes les protections de Windows 11 :

géorepérage pour éviter d’infecter des machines situées en Arménie, au Bélarus, au Kazakhstan, en Moldavie, en Roumanie, en Russie et en Ukraine

pas besoin de demander d’ou ca vient

Violence

Je ne suis pas trop étonné, fallait bien que ça arrive. C’est découvert que maintenant mais il y a de fortes chances que ça existe et exploité depuis quelque temps.

duJambon

Un correctif sera déployé, mais neutralisera tous les anciens supports d’installation

Toutes les machines avec un boot UEFI sont concernées par ce problème.

Tous les anciens supports, DVD, clefs USB, disques, et autres .iso microsoft, winPE, réseau et web ne seront plus bootables sur les toutes les machines subissant des correctifs, sur windows le déploiement se fera sur une année et sera complexe pour ne pas pénaliser les utilisateurs.

Plus tôt cette semaine, Microsoft a publié un correctif pour corriger un bogue de contournement de démarrage sécurisé utilisé par le bootkit BlackLotus dont nous avons parlé en mars. La vulnérabilité d’origine, CVE-2022-21894 , a été corrigée en janvier, mais le nouveau correctif pour CVE-2023-24932 corrige une autre solution de contournement activement exploitée pour les systèmes exécutant Windows 10 et 11 et les versions Windows Server remontant à Windows Server 2008.

Le bootkit BlackLotus est le premier malware du monde réel connu qui peut contourner les protections Secure Boot, permettant l’exécution de code malveillant avant que votre PC ne commence à charger Windows et ses nombreuses protections de sécurité. Secure Boot est activé par défaut depuis plus d’une décennie sur la plupart des PC Windows vendus par des sociétés telles que Dell, Lenovo, HP, Acer et autres. Les PC exécutant Windows 11 doivent l’avoir activé pour répondre à la configuration système requise du logiciel.

Microsoft affirme que la vulnérabilité peut être exploitée par un attaquant disposant soit d’un accès physique à un système, soit de droits d’administrateur sur un système. Cela peut affecter les PC physiques et les machines virtuelles avec Secure Boot activé.

Nous soulignons le nouveau correctif en partie parce que, contrairement à de nombreux correctifs Windows hautement prioritaires, la mise à jour sera désactivée par défaut pendant au moins quelques mois après son installation et en partie parce qu’elle finira par rendre le support de démarrage Windows actuel non démarrable. Le correctif nécessite des modifications du gestionnaire de démarrage Windows qui ne peuvent pas être annulées une fois qu’elles ont été activées.

“La fonction Secure Boot contrôle avec précision le support de démarrage qui est autorisé à se charger lorsqu’un système d’exploitation est lancé, et si ce correctif n’est pas correctement activé, il est possible de provoquer une interruption et d’empêcher un système de démarrer”, dit l’un de plusieurs Articles de support Microsoft sur la mise à jour.

De plus, une fois les correctifs activés, votre PC ne pourra plus démarrer à partir d’un ancien support de démarrage qui n’inclut pas les correctifs. Sur la longue liste des supports concernés : les supports d’installation Windows tels que les DVD et les clés USB créés à partir des fichiers ISO de Microsoft ; images d’installation Windows personnalisées gérées par les services informatiques ; sauvegardes complètes du système ; les lecteurs de démarrage réseau, y compris ceux utilisés par les services informatiques pour dépanner les machines et déployer de nouvelles images Windows ; lecteurs de démarrage simplifiés qui utilisent Windows PE ; et les supports de récupération vendus avec les PC OEM.

Ne voulant pas rendre soudainement les systèmes des utilisateurs non démarrables, Microsoft déploiera la mise à jour par phases au cours des prochains mois. La version initiale du correctif nécessite une intervention importante de l’utilisateur pour l’activer - vous devez d’abord installer les mises à jour de sécurité de mai, puis utiliser un processus en cinq étapes pour appliquer et vérifier manuellement une paire de “fichiers de révocation” qui mettent à jour la partition de démarrage EFI cachée de votre système et votre registre. Cela fera en sorte que les versions plus anciennes et vulnérables du chargeur de démarrage ne seront plus approuvées par les PC.

Une deuxième mise à jour suivra en juillet qui n’activera pas le correctif par défaut mais facilitera son activation . Une troisième mise à jour au “premier trimestre 2024” activera le correctif par défaut et rendra les anciens supports de démarrage non démarrables sur tous les PC Windows corrigés. Microsoft dit qu’il “recherche des opportunités pour accélérer ce calendrier”, bien qu’il ne soit pas clair ce que cela impliquerait.

Ce correctif n’est pas le seul incident de sécurité récent à mettre en évidence les difficultés de correction des vulnérabilités de démarrage sécurisé et UEFI de bas niveau ; Le fabricant d’ordinateurs et de cartes mères MSI a récemment vu ses clés de signature divulguées lors d’une attaque de ransomware , et il n’y a pas de moyen simple pour l’entreprise de dire à ses produits de ne pas faire confiance aux mises à jour du micrologiciel signées avec la clé compromise.

Dans l’intervalle le secure boot ne vaudra pas un pet de lapin (il ne sera peut-être même pas obligatoire sous windows 11 qui ne restera qu’un système de transition en attendant Windows 12 ?)

Source: https://arstechnica.com/information-technology/2023/05/microsoft-patches-secure-boot-flaw-but-wont-enable-fix-by-default-until-early-2024/

Et pour gérer ça: https://support.microsoft.com/fr-fr/topic/kb5025885-comment-gérer-les-révocations-du-gestionnaire-de-démarrage-windows-pour-les-modifications-de-démarrage-sécurisé-associées-à-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#avoidissues5025885

Il ne me semble pas utile de se ruer sur la recherche de futures sources bootable, des correctifs de correctifs ou de nouvelles failles pourraient bien rendre ces fichiers non fonctionnels.

Rien n’est dit sur une restauration d’un backup, celle-ci fonctionnera-t-elle, ou pas ?

Raccoon

Super… Ca promet de belles galères en perspective cette mise à jour.

Raccoon

@duJambon a dit dans BlackLotus, premier bootkit connu à pouvoir contourner toutes les protections de Windows 11 :

Rien n’est dit sur une restoration d’un backup, celle-ci fonctionnera-t’elle, ou pas ?

Bonne question. Comme beaucoup de logiciels de sauvegarde se base sur Win PE il faudra que les éditeurs mettent à jour leurs logiciels et de notre côté se recréer des ISO bootables si besoin pour la restauration.

Ancien 001

j’utilise toujours le site tool de microsoft en exe