Computer hackerato | Envato Elements - Alanews.it
Acquistabile sul black market per 5.000 dollari e di una pericolosità estrema
Un bootkit invisibile, chiamato BlackLotus, è diventato il primo malware noto pubblicamente, in grado di aggirare le difese Secure Boot del sistema UEFI (Unified Extensible Firmware Interface). Questo lo rende una potente minaccia nel panorama informatico, poiché può essere eseguito su sistemi Windows 11 completamente aggiornati con UEFI Secure Boot abilitato.
I Bootkit UEFI sono impiantati nel firmware di sistema e permettono il completo controllo del processo di avvio del sistema operativo, rendendo possibile la disattivazione dei meccanismi di sicurezza a livello OS e l’installazione di payload arbitrari durante l’avvio, con privilegi elevati.
Il toolkit è disponibile all’acquisto per 5.000 dollari ed è caratterizzato dalla sua potenza e persistenza. È stato programmato in Assembly e C e ha una dimensione di 80 kilobyte. Inoltre, dispone di funzionalità di geofencing per evitare l’infezione di computer presenti in Armenia, Bielorussia, Kazakistan, Moldavia, Romania, Russia e Ucraina.
Nell’ottobre 2022, sono emersi i primi dettagli su BlackLotus.
Questo crimeware, rappresenta un notevole balzo in avanti in termini di facilità d’uso, scalabilità, accessibilità e, soprattutto, potenziale impatto, grazie alla sua capacità di persistenza, evasione e distruzione.
BlackLotus sfrutta la vulnerabilità di sicurezza nota come CVE-2022-21894, anche chiamata Baton Drop, per aggirare le protezioni di UEFI Secure Boot e impostare la persistenza. Microsoft ha risolto la vulnerabilità nell’aggiornamento Patch Tuesday di gennaio 2022.
Sfruttare con successo questa vulnerabilità, consente l’esecuzione di codice arbitrario durante le prime fasi di avvio, consentendo a un attore malevolo di eseguire azioni dannose su un sistema con UEFI Secure Boot abilitato, senza dover accedere fisicamente al sistema.
Questa è la prima volta che si ha notizia pubblica di un abuso in-the-wild di questa vulnerabilità. Lo sfruttamento della vulnerabilità è ancora possibile in quanto i file binari interessati, pur essendo validamente firmati, non sono ancora stati aggiunti all’elenco di revoca di UEFI. BlackLotus sfrutta questa vulnerabilità, portando i propri binari legittimi ma vulnerabili nel sistema, aprendo così la strada ad attacchi Bring Your Own Vulnerable Driver (BYOVD).
BlackLotus è progettato non solo per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, ma anche per rimuovere un driver del kernel e un downloader HTTP che comunica con un server di comando e controllo (C2) per recuperare malware aggiuntivo, sia in modalità utente che in modalità kernel. Anche se il metodo esatto utilizzato per distribuire il bootkit è ancora sconosciuto, si sa che inizia con un componente di installazione che è responsabile della scrittura di file nella partizione di sistema EFI, della disabilitazione di HVCI e BitLocker, e infine del riavvio dell’host.
Dopo il riavvio dell’host, il bootkit BlackLotus sfrutta CVE-2022-21894 per ottenere la persistenza e installare il driver del kernel. Il driver, una volta installato, avvia un downloader HTTP in modalità utente e un payload in modalità kernel next-stage. Il downloader è in grado di eseguire i comandi ricevuti dal server C2 tramite HTTPS, inclusi il download e l’esecuzione di un driver del kernel, DLL o un normale eseguibile. Inoltre, può recuperare gli aggiornamenti del bootkit e persino disinstallare il bootkit dal sistema infetto. Il driver del bootkit è anche progettato per disattivare meccanismi di sicurezza come BitLocker, Hypervisor-protected Code Integrity (HVCI) e Windows Defender, nonché per eliminare un driver del kernel. Sebbene non sia noto l’esatto metodo di distribuzione del bootkit, il processo inizia con un componente di installazione che scrive i file nella partizione di sistema EFI, disabilita HVCI e BitLocker e riavvia il sistema.
Purtroppo, a causa della complessità dell’intero ecosistema UEFI e dei relativi problemi di supply-chain, molte vulnerabilità sono state risolte solo dopo molto tempo, lasciando molti sistemi vulnerabili.
Era inevitabile che qualcuno sfruttasse queste lacune e creasse un bootkit UEFI in grado di funzionare su sistemi con UEFI Secure Boot abilitato.
Autore: Marco Marra
Sanità, Schillaci: "Aggressioni ai medici? Misure in tempi brevi" "Problema culturale, impensabile che cittadini aggrediscano…
Roma, caos a Termini per sciopero dei mezzi: "Impossibile andare a lavorare" Sciopero dei mezzi…
Suzuki al Salone dell'Auto di Torino 2024 In vetrina le due 'anime' brand Economia (Torino).…
Sciopero ATM Milano, chiude M2 e una tratta della M5 Regolari le altre linee e…
Champions League, Gasperini in conferenza stampa post Atalanta-Arsenal Il tecnico nerazzurro dopo il primo match…
Spagna, Mattarella visita la casa museo di Colombo e il centro storico di Las Palmas…