Les chercheurs d’Eset viennent de découvrir BlackLotus, le premier bootkit UEFI en circulation, capable de contourner une fonctionnalité de sécurité essentielle : UEFI Secure Boot.
Le bootkit UEFI (Unified Extensible Firmware Interface ou Interface micrologicielle extensible unifiée) BlackLotus peut s’exécuter même sur des systèmes Windows 11 entièrement à jour avec UEFI Secure Boot activé et pourrait s’acheter sur les forums pirates pour 5000$ depuis le mois d’octobre 2022, au moins. Dans son fonctionnement, il exploite une vulnérabilité datant de plus d’un an (CVE-2022-21894) pour contourner UEFI Secure Boot et établir une persistance pour le bootkit.
Il s’agit de la première utilisation connue publiquement de cette vulnérabilité. Si la vulnérabilité a été corrigée dans la mise à jour de janvier 2022 de Microsoft, son exploitation est toujours possible et peut permettre la désactivation des mécanismes de sécurité du système d’exploitation tels que BitLocker, HVCI et Windows Defender.
Facile à déployer, BlackLotus peut se propager rapidement s’il était mis entre les mains de groupes de criminels informatiques. A noter que certains des installeurs de BlackLotus analysés par Eset ne procèdent pas à l’installation du bootkit si l’hôte compromis utilise l’un des paramètres régionaux suivants : Arménie, Biélorussie, Kazakhstan, Moldavie, Russie ou Ukraine.
La rédaction