Un kit de arranque sigiloso de interfaz de firmware extensible unificada (UEFI) llamado BlackLotus se ha convertido en el primer malware conocido p\u00fablicamente capaz de eludir las defensas de arranque seguro, lo que lo convierte en una amenaza potente en el panorama cibern\u00e9tico.<\/p>\n
“Este bootkit puede ejecutarse incluso en sistemas Windows 11 completamente actualizados con UEFI Secure Boot habilitado”, empresa de ciberseguridad eslovaca ESET dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Los bootkits UEFI se implementan en el firmware del sistema y permiten un control total sobre el proceso de inicio del sistema operativo (SO), lo que hace posible deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas \u00fatiles arbitrarias durante el inicio con privilegios elevados.<\/p>\n Ofrecido a la venta a $ 5,000 (y $ 200 por cada nueva versi\u00f3n posterior), el potente y persistente juego de herramientas est\u00e1 programado en ensamblador y C y tiene un tama\u00f1o de 80 kilobytes. Tambi\u00e9n cuenta con capacidades de geofencing para evitar infectar computadoras en Armenia, Bielorrusia, Kazajst\u00e1n, Moldavia, Rumania, Rusia y Ucrania.<\/p>\n Detalles sobre Black Lotus surgi\u00f3 por primera vez<\/a> en octubre de 2022, con el investigador de seguridad de Kaspersky, Sergey Lozhkin, describi\u00e9ndolo como una soluci\u00f3n sofisticada de software delictivo.<\/p>\n “Esto representa un peque\u00f1o ‘salto’ hacia adelante, en t\u00e9rminos de facilidad de uso, escalabilidad, accesibilidad y, lo que es m\u00e1s importante, el potencial de un impacto mucho mayor en las formas de persistencia, evasi\u00f3n y\/o destrucci\u00f3n”, Scott Scheferman de Eclypsium. anotado<\/a>.<\/p>\n BlackLotus, en pocas palabras, explota una falla de seguridad rastreada como CVE-2022-21894<\/a> (tambi\u00e9n conocido como ca\u00edda de bast\u00f3n<\/a>) para sortear las protecciones de arranque seguro de UEFI y configurar la persistencia. Microsoft abord\u00f3 la vulnerabilidad como parte de su actualizaci\u00f3n del martes de parches de enero de 2022.<\/p>\n Una explotaci\u00f3n exitosa de la falla permite la ejecuci\u00f3n de c\u00f3digo arbitrario durante las primeras fases de arranque, lo que permite que un actor de amenazas lleve a cabo acciones maliciosas en un sistema con UEFI Secure Boot habilitado sin tener acceso f\u00edsico a \u00e9l, dijo ESET.<\/p>\n “Este es el primer abuso conocido p\u00fablicamente de esta vulnerabilidad”, dijo Martin Smol\u00e1r, investigador de ESET. “Su explotaci\u00f3n a\u00fan es posible ya que los binarios afectados y v\u00e1lidamente firmados a\u00fan no se han agregado a la Lista de revocaci\u00f3n de UEFI<\/a>.”<\/p>\n “BlackLotus se aprovecha de esto, trayendo sus propias copias de binarios leg\u00edtimos, pero vulnerables, al sistema para explotar la vulnerabilidad”, allanando efectivamente el camino para los ataques de Bring Your Own Vulnerable Driver (BYOVD).<\/p>\n Adem\u00e1s de estar equipado para desactivar mecanismos de seguridad como BitLocker, Integridad de c\u00f3digo protegido por hipervisor (HVCI<\/a>), y Windows Defender, tambi\u00e9n est\u00e1 dise\u00f1ado para soltar un controlador de kernel y un descargador HTTP que se comunica con un servidor de comando y control (C2) para recuperar malware adicional en modo usuario o modo kernel.<\/p>\n A\u00fan se desconoce el modus operandi exacto utilizado para implementar el bootkit, pero comienza con un componente de instalaci\u00f3n que es responsable de escribir los archivos en el Partici\u00f3n del sistema EFI<\/a>deshabilite HVCI y BitLocker y luego reinicie el host.<\/p>\n El reinicio es seguido por la activaci\u00f3n de CVE-2022-21894 para lograr la persistencia e instalar el kit de arranque, despu\u00e9s de lo cual se ejecuta autom\u00e1ticamente en cada inicio del sistema para implementar el controlador del kernel.<\/p>\n Si bien el controlador tiene la tarea de iniciar el descargador HTTP en modo de usuario y ejecutar las cargas \u00fatiles en modo kernel de la pr\u00f3xima etapa, este \u00faltimo es capaz de ejecutar comandos recibidos del servidor C2 a trav\u00e9s de HTTPS.<\/p>\n Esto incluye descargar y ejecutar un controlador de kernel, DLL o un ejecutable regular; obteniendo actualizaciones de bootkit e incluso desinstalando el bootkit del sistema infectado.<\/p>\n “En los \u00faltimos a\u00f1os se han descubierto muchas vulnerabilidades cr\u00edticas que afectan la seguridad de los sistemas UEFI”, dijo Smol\u00e1r. “Desafortunadamente, debido a la complejidad de todo el ecosistema UEFI y los problemas relacionados con la cadena de suministro, muchas de estas vulnerabilidades han dejado a muchos sistemas vulnerables incluso mucho tiempo despu\u00e9s de que se hayan solucionado las vulnerabilidades, o al menos despu\u00e9s de que nos dijeron que se hab\u00edan solucionado”.<\/p>\n “Era solo cuesti\u00f3n de tiempo antes de que alguien aprovechara estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado”.<\/p>\n <\/p>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1677673050_628_BlackLotus-se-convierte-en-el-primer-malware-UEFI-Bootkit-en.png\" "\\"Software")
<\/div>\n