BlackLotus, un kit de arranque UEFI que se vende en foros de piratería por alrededor de $ 5,000, ahora puede omitir el arranque seguro, lo que lo convierte en el primer malware conocido que se ejecuta en sistemas Windows incluso con la función de seguridad del firmware habilitada.
Se supone que el arranque seguro evita que los dispositivos ejecuten software no autorizado en las máquinas de Microsoft. Pero al apuntar a UEFI, el malware BlackLotus se carga antes que cualquier otra cosa en el proceso de arranque, incluido el sistema operativo y cualquier herramienta de seguridad que pueda detenerlo.
El investigador principal de seguridad de Kaspersky, Sergey Lozhkin, vio por primera vez que BlackLotus se vendía en los mercados de ciberdelincuencia en octubre de 2022 y los especialistas en seguridad han estado desarmando pieza por pieza desde entonces.
En investigación publicado hoy, el analista de malware de ESET, Martin Smolár, dice que el mito de un kit de arranque en estado salvaje que pasa por alto el arranque seguro “ahora es una realidad”, a diferencia de la habitual cantidad de anuncios falsos de los delincuentes que intentan estafar a sus compañeros malhechores.
El último malware “es capaz de ejecutarse incluso en sistemas Windows 11 completamente actualizados con UEFI Secure Boot habilitado”, agregó.
BlackLotus explota una vulnerabilidad de más de un año, CVE-2022-21894, para omitir el proceso de inicio seguro y establecer la persistencia. Microsoft arregló este CVE en enero de 2022, pero los delincuentes aún pueden explotarlo porque los archivos binarios firmados afectados no se han agregado al Lista de revocación de UEFIseñaló Underdog.
“BlackLotus se aprovecha de esto, trayendo sus propias copias de binarios legítimos, pero vulnerables, al sistema para explotar la vulnerabilidad”, escribió.
Más que exploit de prueba de concepto porque esta vulnerabilidad ha estado disponible públicamente desde agosto de 2022, por lo que se espera ver pronto a más ciberdelincuentes utilizando este problema con fines ilícitos.
Lo que hace que sea aún más difícil de detectar: BlackLotus puede deshabilitar varias herramientas de seguridad del sistema operativo, como BitLocker, Hypervisor-protected Code Integrity (HVCI) y Windows Defender, y omitir el Control de cuentas de usuario (UAC), según la tienda de seguridad.
Y aunque los investigadores no atribuyen el malware a una pandilla en particular o grupo de estado-nación, sí notan que los instaladores de BlackLotus que analizaron no procederán si la computadora comprometida está ubicada en Armenia, Bielorrusia, Kazajstán, Moldavia, Rumania, Rusia y Ucrania.
Una vez que BlackLotus explota CVE-2022-21894 y desactiva las herramientas de seguridad del sistema, implementa un controlador de kernel y un descargador HTTP. El controlador del kernel, entre otras cosas, protege los archivos del kit de arranque para que no se eliminen, mientras que el descargador HTTP se comunica con el servidor de comando y control y ejecuta cargas útiles.
La investigación del kit de arranque sigue las vulnerabilidades de UEFI en las computadoras portátiles Lenovo que ESET descubrió la primavera pasada, que, entre otras cosas, permite a los atacantes deshabilitar el arranque seguro.
“Era solo cuestión de tiempo antes de que alguien se aprovechara de estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado”, escribió Smolár. ®
