Невидливиот UEFI (Unified Extensible Firmware Interface) bootkit наречен BlackLotus стана првиот познат малициозен софтвер способен да ја заобиколи Secure Boot одбраната.
„Овој bootkit може да работи дури и на целосно ажурирани Windows 11 системи со овозможено UEFI Secure Boot“, се вели во извештајот што го објави словачката компанија за сајбер безбедност ESET.
Општо земено, UEFI bootkit се наоѓа во фирмверот на системот и обезбедува целосна контрола врз процесот на подигање на оперативниот систем, а со тоа овозможува оневозможување на безбедносните механизми на ниво на ОС.
BlackLotus се продава за 5.000 долари (плус 200 долари за секоја следна верзија). Станува збор за моќен малициозен софтвер, со големина од 80 килобајти. Злонамерниот софтвер може да ја открие локацијата на корисникот и на тој начин да избегне заразување на компјутерите лоцирани во Ерменија, Белорусија, Казахстан, Молдавија, Романија, Русија и Украина.
Деталите за BlackLotus првпат се појавија во октомври 2022 година, при што безбедносниот истражувач на компанијата Kaspersky Сергеј Ложкин го опишува како софистициран криминалистички софтвер.
BlackLotus користи безбедносна ранливост следена како CVE-2022-21894 (Baton Drop) за да ја заобиколи заштитата на UEFI Secure Boot и да обезбеди постојаност. Оваа ранливост беше отстранета од Мајкрософт со ажурирање објавено во јануари 2022 година.
Успешната експлоатација на ранливоста, според ESET, овозможува произволно извршување на код во раните фази на подигање, дозволувајќи им на напаѓачите да вршат малициозни дејства на систем овозможен UEFI Secure Boot без физички пристап.
„Ова е прва јавно позната злоупотреба на оваа ранливост“, рече истражувачот на ESET, Мартин Смолар, кој додаде дека „неговата експлоатација сè уште е можна“.
BlackLotus носи свои копии на легитимни, но ранливи бинарни датотеки во системот за да ја искористат ранливоста, отворајќи го патот за напад на Bring Your Own Vulnerable Driver (BYOVD).
Освен што може да ги оневозможи безбедносните механизми како BitLocker, HVCI (Hypervisor-protected Code Integrity) и Windows Defender, BlackLotus може да презема и дополнителен малициозен софтвер.
Сè уште не е познат точниот начин на работа на bootkit-от.
„Многу критични пропусти кои влијаат на безбедноста на системите UEFI беа откриени во текот на изминатите неколку години“, рече Смолар. „За жал, поради сложеноста на целиот UEFI екосистем и проблеми со синџирот на снабдување, многу од овие пропусти оставија многу системи ранливи дури и долго откако беа закрпени пропустите – или барем откако ни беше кажано дека се закрпени. Беше само прашање на време кога некој ќе ги искористи овие грешки и ќе направи UEFI bootkit способен да работи на системи со UEFI Secure Boot“.