La National Security Agency (NSA) des États-Unis a publié jeudi des conseils pour aider les organisations à détecter et à prévenir les infections d’une interface micrologicielle extensible unifiée (UEFI) bootkit appelé Lotus Noir.
À cette fin, l’agence est recommander que « les propriétaires d’infrastructure prennent des mesures en renforçant les politiques exécutables des utilisateurs et en surveillant l’intégrité de la partition de démarrage ».
BlackLotus est une solution de crimeware avancée qui a été mise en lumière pour la première fois en octobre 2022 par Kaspersky. Un bootkit UEFI capable de contourner les protections de démarrage sécurisé de Windows, des échantillons de logiciels malveillants ont depuis émergé dans la nature.
Ceci est accompli en tirant parti d’une faille connue de Windows appelée Baton Drop (CVE-2022-21894score CVSS : 4,4) découverts dans des chargeurs de démarrage pas ajouté dans le Liste de révocation Secure Boot DBX. La vulnérabilité a été corrigée par Microsoft en janvier 2022.
Cette faille pourrait être exploitée par des pirates pour remplacer des chargeurs de démarrage entièrement corrigés par des versions vulnérables et exécuter BlackLotus sur des terminaux compromis.
Kits de démarrage UEFI comme BlackLotus accorde un acteur menaçant contrôle complet sur le système d’exploitation procédure de démarragepermettant ainsi d’interférer avec les mécanismes de sécurité et de déployer des charges utiles supplémentaires avec des privilèges élevés.
Il convient de noter que BlackLotus n’est pas un menace du micrologiciel, et se concentre plutôt sur la première étape logicielle du processus de démarrage pour atteindre la persistance et l’évasion. Il n’y a aucune preuve que le logiciel malveillant cible les systèmes Linux.
« Les bootkits UEFI peuvent perdre en furtivité par rapport aux implants de firmware […] car les bootkits sont situés sur une partition de disque FAT32 facilement accessible », a déclaré le chercheur d’ESET Martin Smolár dans une analyse de BlackLotus en mars 2023.
« Cependant, fonctionner en tant que chargeur de démarrage leur donne presque les mêmes capacités que les implants de micrologiciels, mais sans avoir à surmonter les défenses flash SPI à plusieurs niveaux, telles que les bits de protection BWE, BLE et PRx, ou les protections fournies par le matériel (comme Intel Boot Garde).
Outre l’application des mises à jour du mardi du correctif de mai 2023 de Microsoft, qui corrigeaient une deuxième faille de contournement du démarrage sécurisé (CVE-2023-24932, score CVSS : 6,7) exploitée par BlackLotus, il est conseillé aux organisations de suivre les étapes d’atténuation suivantes :
- Mettre à jour le support de récupération
- Configurer un logiciel défensif pour examiner les modifications apportées à la partition de démarrage EFI
- Surveiller les mesures d’intégrité de l’appareil et la configuration de démarrage pour les changements anormaux dans la partition de démarrage EFI
- Personnaliser le démarrage sécurisé UEFI pour bloquer les anciens chargeurs de démarrage Windows signés
- Supprimer le certificat Microsoft Windows Production CA 2011 sur les appareils qui démarrent exclusivement Linux
Microsoft, pour sa part, adopte une approche progressive pour fermer complètement le vecteur d’attaque. Les correctifs devraient être généralement disponibles au premier trimestre 2024.