La National Security Agency (NSA) des États-Unis a publié jeudi des conseils pour aider les organisations à détecter et à prévenir les infections d’un kit de démarrage Unified Extensible Firmware Interface (UEFI) appelé Lotus Noir.
À cette fin, l’agence recommande que « les propriétaires d’infrastructure prennent des mesures en renforçant les politiques exécutables des utilisateurs et en surveillant l’intégrité de la partition de démarrage ».
BlackLotus est une solution de crimeware avancée qui a été mise en lumière pour la première fois en octobre 2022 par Kaspersky. Un bootkit UEFI capable de contourner les protections de démarrage sécurisé de Windows, des échantillons de logiciels malveillants ont depuis émergé dans la nature.
Ceci est accompli en tirant parti d’une faille Windows connue appelée Baton Drop (CVE-2022-21894, score CVSS : 4,4) découverte dans des chargeurs de démarrage vulnérables non ajoutés à la liste de révocation Secure Boot DBX. La vulnérabilité a été corrigée par Microsoft en janvier 2022.
Cette faille pourrait être exploitée par des pirates pour remplacer des chargeurs de démarrage entièrement corrigés par des versions vulnérables et exécuter BlackLotus sur des terminaux compromis.
Les bootkits UEFI comme BlackLotus accordent à un pirate un contrôle total sur la procédure de démarrage du système d’exploitation, permettant ainsi d’interférer avec les mécanismes de sécurité et de déployer des charges utiles supplémentaires avec des privilèges élevés.
Il convient de noter que BlackLotus n’est pas une menace de micrologiciel et se concentre plutôt sur la première étape logicielle du processus de démarrage pour obtenir la persistance et l’évasion. Il n’y a aucune preuve que le logiciel malveillant cible les systèmes Linux.
« Les bootkits UEFI peuvent perdre en furtivité par rapport aux implants de firmware […] car les bootkits sont situés sur une partition de disque FAT32 facilement accessible », a déclaré le chercheur d’ESET Martin Smolár dans une analyse de BlackLotus en mars 2023.
« Cependant, fonctionner en tant que chargeur de démarrage leur donne presque les mêmes capacités que les implants de micrologiciels, mais sans avoir à surmonter les défenses flash SPI à plusieurs niveaux, telles que les bits de protection BWE, BLE et PRx, ou les protections fournies par le matériel (comme Intel Boot Garde).
Outre l’application des mises à jour du mardi du correctif de mai 2023 de Microsoft, qui corrigeaient une deuxième faille de contournement du démarrage sécurisé (CVE-2023-24932, score CVSS : 6,7) exploitée par BlackLotus, il est conseillé aux organisations de suivre les étapes d’atténuation suivantes :
- Mettre à jour le support de récupération
- Configurer un logiciel défensif pour examiner les modifications apportées à la partition de démarrage EFI
- Surveiller les mesures d’intégrité de l’appareil et la configuration de démarrage pour les changements anormaux dans la partition de démarrage EFI
- Personnalisez le démarrage sécurisé UEFI pour bloquer les anciens chargeurs de démarrage Windows signés
- Supprimer le certificat Microsoft Windows Production CA 2011 sur les appareils qui démarrent exclusivement Linux
Microsoft, pour sa part, adopte une approche progressive pour fermer complètement le vecteur d’attaque. Les correctifs devraient être généralement disponibles au premier trimestre 2024.
