{"id":798218,"date":"2023-06-23T18:04:36","date_gmt":"2023-06-23T20:04:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nsa-publie-un-guide-pour-combattre-le-puissant-bootkit-blacklotus-ciblant-les-systemes-windows\/"},"modified":"2023-06-23T18:04:42","modified_gmt":"2023-06-23T20:04:42","slug":"la-nsa-publie-un-guide-pour-combattre-le-puissant-bootkit-blacklotus-ciblant-les-systemes-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nsa-publie-un-guide-pour-combattre-le-puissant-bootkit-blacklotus-ciblant-les-systemes-windows\/","title":{"rendered":"La NSA publie un guide pour combattre le puissant bootkit BlackLotus ciblant les syst\u00e8mes Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Menace Intel \/ Endpoint Security<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La National Security Agency (NSA) des \u00c9tats-Unis a publi\u00e9 jeudi des conseils pour aider les organisations \u00e0 d\u00e9tecter et \u00e0 pr\u00e9venir les infections d&#8217;une interface micrologicielle extensible unifi\u00e9e (<a rel=\"nofollow noopener\" href=\"https:\/\/insights.sei.cmu.edu\/blog\/uefi-terra-firma-for-attackers\/\" target=\"_blank\">UEFI<\/a>) bootkit appel\u00e9 <strong>Lotus Noir<\/strong>.<\/p>\n<p>\u00c0 cette fin, l&#8217;agence est <a rel=\"nofollow noopener\" href=\"https:\/\/www.nsa.gov\/Press-Room\/Press-Releases-Statements\/Press-Release-View\/Article\/3435305\/nsa-releases-guide-to-mitigate-blacklotus-threat\/\" target=\"_blank\">recommander<\/a> que &#8220;les propri\u00e9taires d&#8217;infrastructure prennent des mesures en renfor\u00e7ant les politiques ex\u00e9cutables des utilisateurs et en surveillant l&#8217;int\u00e9grit\u00e9 de la partition de d\u00e9marrage&#8221;.<\/p>\n<p>BlackLotus est une solution de crimeware avanc\u00e9e qui a \u00e9t\u00e9 mise en lumi\u00e8re pour la premi\u00e8re fois en octobre 2022 par Kaspersky.  Un bootkit UEFI capable de contourner les protections de d\u00e9marrage s\u00e9curis\u00e9 de Windows, des \u00e9chantillons de logiciels malveillants ont depuis \u00e9merg\u00e9 dans la nature.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ceci est accompli en tirant parti d&#8217;une faille connue de Windows appel\u00e9e Baton Drop (<a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-21894\" target=\"_blank\">CVE-2022-21894<\/a>score CVSS\u00a0: 4,4) d\u00e9couverts dans des <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/microsoft-guidance-for-applying-secure-boot-dbx-update-kb4575994-e3b9e4cb-a330-b3ba-a602-15083965d9ca\" target=\"_blank\">chargeurs de d\u00e9marrage<\/a> pas ajout\u00e9 dans le <a rel=\"nofollow noopener\" href=\"https:\/\/uefi.org\/revocationlistfile\" target=\"_blank\">Liste de r\u00e9vocation Secure Boot DBX<\/a>.  La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e par Microsoft en janvier 2022.<\/p>\n<p>Cette faille pourrait \u00eatre exploit\u00e9e par des pirates pour remplacer des chargeurs de d\u00e9marrage enti\u00e8rement corrig\u00e9s par des versions vuln\u00e9rables et ex\u00e9cuter BlackLotus sur des terminaux compromis.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.virusbulletin.com\/virusbulletin\/2014\/11\/paper-bootkits-past-present-amp-future\" target=\"_blank\">Kits de d\u00e9marrage UEFI<\/a> comme BlackLotus accorde un acteur mena\u00e7ant <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/cybersecurity-101\/malware\/bootkit\/\" target=\"_blank\">contr\u00f4le complet<\/a> sur le syst\u00e8me d&#8217;exploitation <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2017\/10\/19\/malware-firmware-exploit-sense-security\/\" target=\"_blank\">proc\u00e9dure de d\u00e9marrage<\/a>permettant ainsi d&#8217;interf\u00e9rer avec les m\u00e9canismes de s\u00e9curit\u00e9 et de d\u00e9ployer des charges utiles suppl\u00e9mentaires avec des privil\u00e8ges \u00e9lev\u00e9s.<\/p>\n<p>Il convient de noter que BlackLotus n&#8217;est pas un <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2018\/09\/27\/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group\/\" target=\"_blank\">menace du micrologiciel<\/a>, et se concentre plut\u00f4t sur la premi\u00e8re \u00e9tape logicielle du processus de d\u00e9marrage pour atteindre la persistance et l&#8217;\u00e9vasion.  Il n&#8217;y a aucune preuve que le logiciel malveillant cible les syst\u00e8mes Linux.<\/p>\n<p>&#8220;Les bootkits UEFI peuvent perdre en furtivit\u00e9 par rapport aux implants de firmware [&#8230;] car les bootkits sont situ\u00e9s sur une partition de disque FAT32 facilement accessible \u00bb, a d\u00e9clar\u00e9 le chercheur d&#8217;ESET Martin Smol\u00e1r dans une analyse de BlackLotus en mars 2023.<\/p>\n<p>&#8220;Cependant, fonctionner en tant que chargeur de d\u00e9marrage leur donne presque les m\u00eames capacit\u00e9s que les implants de micrologiciels, mais sans avoir \u00e0 surmonter les d\u00e9fenses flash SPI \u00e0 plusieurs niveaux, telles que les bits de protection BWE, BLE et PRx, ou les protections fournies par le mat\u00e9riel (comme Intel Boot Garde).<\/p>\n<p>Outre l&#8217;application des mises \u00e0 jour du mardi du correctif de mai 2023 de Microsoft, qui corrigeaient une deuxi\u00e8me faille de contournement du d\u00e9marrage s\u00e9curis\u00e9 (CVE-2023-24932, score CVSS\u00a0: 6,7) exploit\u00e9e par BlackLotus, il est conseill\u00e9 aux organisations de suivre les \u00e9tapes d&#8217;att\u00e9nuation suivantes\u00a0:<\/p>\n<ul>\n<li>Mettre \u00e0 jour le support de r\u00e9cup\u00e9ration<\/li>\n<li>Configurer un logiciel d\u00e9fensif pour examiner les modifications apport\u00e9es \u00e0 la partition de d\u00e9marrage EFI<\/li>\n<li>Surveiller les mesures d&#8217;int\u00e9grit\u00e9 de l&#8217;appareil et la configuration de d\u00e9marrage pour les changements anormaux dans la partition de d\u00e9marrage EFI<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/nsacyber\/Hardware-and-Firmware-Security-Guidance\/tree\/master\/secureboot\" target=\"_blank\">Personnaliser le d\u00e9marrage s\u00e9curis\u00e9 UEFI<\/a> pour bloquer les anciens chargeurs de d\u00e9marrage Windows sign\u00e9s<\/li>\n<li>Supprimer le certificat Microsoft Windows Production CA 2011 sur les appareils qui d\u00e9marrent exclusivement Linux<\/li>\n<\/ul>\n<p>Microsoft, pour sa part, adopte une approche progressive pour fermer compl\u00e8tement le vecteur d&#8217;attaque.  Les correctifs devraient \u00eatre g\u00e9n\u00e9ralement disponibles au premier trimestre 2024.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/nsa-releases-guide-to-combat-powerful.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 juin 2023\ue804Ravie LakshmananMenace Intel \/ Endpoint Security La National Security Agency (NSA) des \u00c9tats-Unis a publi\u00e9 jeudi des conseils pour aider les organisations \u00e0 d\u00e9tecter et \u00e0 pr\u00e9venir les infections d&#8217;une interface micrologicielle extensible unifi\u00e9e (UEFI) bootkit appel\u00e9 Lotus Noir. \u00c0 cette fin, l&#8217;agence est recommander que &#8220;les propri\u00e9taires d&#8217;infrastructure prennent des mesures en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":798219,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[149082,149083,4175,19806,4168,4158,4165,4161,10108,4157,4159,4171,4170,65,4167,4160,4163,4162,108276,185,2212,19312,4172,4169,5046,4166,4164,45020],"class_list":["post-798218","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-blacklotus","tag-bootkit","tag-ciblant","tag-combattre","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-guide","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-nsa","tag-pour","tag-publie","tag-puissant","tag-securite-informatique","tag-securite-internet","tag-systemes","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/798218","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=798218"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/798218\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/798219"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=798218"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=798218"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=798218"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}