ESET Research publiceert als eerste een analyse van een UEFI-opstartkit die UEFI Secure Boot, een kritieke platformbeveiligingsfunctie, kan omzeilen. De functionaliteit en individuele kenmerken leiden tot de overtuiging dat het een bedreiging is die bekend staat als BlackLotus, een UEFI-bootkit die sinds oktober 2022 op hackforums voor $ 5.000 wordt verkocht. Het draait op Windows 11, bijgewerkt met ingeschakelde UEFI Secure Boot.
· ESET Research publiceert als eerste een analyse van BlackLotus, de eerste in-the-wilde UEFI-bootkit in staat om UEFI Secure Boot te omzeilen, een essentieel beveiligingskenmerk van het platform.
· Deze UEFI-opstartkit, sinds oktober 2022 op hackforums verkocht voor $ 5.000, kan uitgevoerd worden op volledig up-to-date Windows 11-systemen waarop UEFI Secure Boot is ingesteld.
· De bootkit gebruikt één jaar oude kwetsbaarheid (CVE-2022-21894) om UEFI Secure Boot te omzeilen en bootkitpersistentie te configureren. Dit is het eerste bekende misbruik van de kwetsbaarheid.
· De kwetsbaarheid, gepatcht in de Microsoft-update van januari 2022, kan nog steeds worden misbruikt en kan leiden tot het uitschakelen van beveiligingsmechanismen van het besturingssysteem, zoals BitLocker, HVCI en Windows Defender.
· BlackLotus, eenvoudig te implementeren, kan zich snel verspreiden als het in handen valt van criminele softwaregroepen.
· Sommige door ESET gescande BlackLotus-installatieprogramma’s installeren de bootkit niet als de besmette host regionale instellingen gebruikt, zoals: Armenië, Wit-Rusland, Kazachstan, Moldavië, Rusland of Oekraïne.
BRATISLAVA — 1 maart 2023 — ESET Research publiceert als eerste een analyse van een UEFI-opstartkit die UEFI Secure Boot, een kritieke platformbeveiligingsfunctie, kan omzeilen. De functionaliteit en individuele kenmerken leiden tot de overtuiging dat het een bedreiging is die bekend staat als BlackLotus, een UEFI-bootkit die sinds oktober 2022 op hackforums voor $ 5.000 wordt verkocht. Het draait op Windows 11, bijgewerkt met ingeschakelde UEFI Secure Boot.
“Het onderzoek begon met enkele bevindingen over wat (met een hoge mate van zekerheid) de BlackLotus-component in de gebruikersmodus bleek te zijn – een HTTP-downloader – eind 2022 in onze telemetrie. Na een eerste beoordeling lieten de code-patronen, gevonden in de voorbeelden, ons zes BlackLotus-installatieprogramma’s zien. Zo konden we de hele uitvoeringsketen verkennen en beseften we dat we hier met meer dan gewone malware te maken hadden”, zegt Martin Smolár, de ESET-onderzoeker die het onderzoek leidde.
De bootkit maakt gebruik van een meer dan één jaar oude kwetsbaarheid (CVE-2022-21894) om UEFI Secure Boot te omzeilen en bootkitpersistentie te configureren. Dit is het eerste bekende misbruik van deze kwetsbaarheid. Hoewel het werd opgelost in de Microsoft-update van januari 2022, is misbruik ervan nog steeds mogelijk omdat de betrokken en geldig ondertekende binaire bestanden nog steeds niet zijn toegevoegd aan de UEFI-intrekkingslijst. BlackLotus profiteert hiervan door zijn eigen kopieën van legitieme – maar kwetsbare – binaire bestanden in het systeem te installeren om de kwetsbaarheid te misbruiken.
BlackLotus kan beveiligingsmechanismen van het besturingssysteem uitschakelen, zoals BitLocker, HVCI en Windows Defender. Eens geïnstalleerd, is zijn hoofddoem het implementeren van een kernelstuurprogramma (dat de bootkit beschermt tegen verwijdering) en dat extra payloads in gebruikersmodus of kernelmodus kan installeren. Sommige door ESET geanalyseerde BlackLotus-installatieprogramma’s installeren de bootkit niet als de gecompromitteerde host locale kentekens als Armenië, Wit-Rusland, Kazachstan, Moldavië, Rusland of Oekraïne gebruikt.
BlackLotus wordt al sinds begin oktober 2022 geadverteerd en verkocht op ondergrondse fora. “We kunnen bewijzen dat de bootkit echt is en dat de advertentie geen oplichterij is”, zegt Smolár. “Het lage aantal voorbeelden van BlackLotus dat we hebben kunnen verkrijgen, uit openbare bronnen en uit onze telemetrie, doet ons geloven dat momenteel weinig kwaadwillende actoren het zijn gaan gebruiken. We vrezen dat het snel zal veranderen als deze bootkit in de handen van softwarecriminele groepen, dankzij het gemak van het inzetten van de bootkit en het vermogen van de criminele groepen om malware te verspreiden met behulp van hun botnets.”
De jongste jaren zijn er veel kritieke kwetsbaarheden ontdekt die de beveiliging van UEFI-systemen beïnvloeden. Helaas hebben deze kwetsbaarheden, vanwege de complexiteit van het hele UEFI-ecosysteem en de bijbehorende problemen met de toeleveringsketen, systemen kwetsbaar gemaakt zelfs lang nadat de kwetsbaarheden waren gepatcht… of in ieder geval sinds ons werd verteld dat ze waren gepatcht.
UEFI-bootkits zijn krachtige bedreigingen, met volledige controle over het opstartproces van het besturingssysteem en in staat om verschillende beveiligingsmechanismen van het besturingssysteem uit te schakelen terwijl ze hun eigen payloads inzetten in kernelmodus of gebruikersmodus bij de eerste opstart. Hierdoor kunnen ze zeer discreet en met verhoogde privileges opereren. Tot nu toe werden er slechts een paar in-the-wild ontdekt en publiekelijk beschreven. UEFI-bootkits kunnen discretie verliezen in vergelijking met firmware-implantaten – zoals LoJax, het eerste in-the-wild UEFI-firmware-implantaat, ontdekt door ESET Research in 2018 – omdat bootkits zich op een gemakkelijk toegankelijke FAT32-schijfpartitie bevinden. Door als bootloader te fungeren, hebben ze vrijwel dezelfde mogelijkheden zonder dat ze meerdere beveiligingslagen hoeven te omzeilen die bescherming bieden tegen firmware-implantaties.
Smolár concludeert: “Het beste advies is natuurlijk om uw systeem en beveiligingsproduct up-to-date te houden om de kans te vergroten dat een dreiging in eerste instantie wordt gestopt, voordat deze pre-OS persistentie kan bereiken.”
Voor meer technische informatie over BlackLotus, evenals tips voor beperking en herstel, lees de blog BlackLotus UEFI Bootkit: Myth confirmed .Volg ESET Research op Twitter –ESET Research on Twitter – voor het laatste nieuws over ESET Research.
