O código-fonte do bootkit BlackLotus UEFI foi compartilhado publicamente no GitHub, embora com várias modificações em comparação com o malware original.
Projetado especificamente para Windows, o bootkit surgiu em fóruns de hackers em outubro do ano passado, sendo anunciado com recursos de nível APT, como inicialização segura e desvio de controle de acesso do usuário (UAC) e a capacidade de desativar aplicativos de segurança e mecanismos de defesa nos sistemas das vítimas.
Capaz de persistir no firmware, o BlackLotus pode ser usado para carregar drivers não assinados e foi observado explorando o CVE-2022-21894, uma vulnerabilidade de um ano no Windows, para desabilitar a inicialização segura mesmo em sistemas totalmente corrigidos.
Em abril, a Microsoft lançou recursos para ajudar os caçadores de ameaças a identificar infecções por BlackLotus. Em junho, a NSA publicou orientações para ajudar as organizações a proteger seus sistemas contra a ameaça.
O Código-fonte do BlackLotus que foi publicado no GitHub na quarta-feira foi removido da exploração ‘Baton Drop’ visando CVE-2022-21894 e usa o bootlicker UEFI firmware rootkit, mas contém o restante do código original.
A disponibilidade pública do código-fonte do bootkit representa um risco significativo, principalmente porque pode ser combinado com novas explorações e criar novas oportunidades de ataque, de acordo com Alex Matrosov, CEO da empresa de segurança de firmware Binarly.
“O vazamento do BlackLotus mostra como os antigos truques de rootkit e bootkit, combinados com novas vulnerabilidades de bypass de inicialização segura, ainda podem ser muito eficazes em cegar muitas soluções modernas de segurança de endpoint”, disse Matrosov Cibersegurança Notícias em um comentário enviado por e-mail.
“Em geral, isso mostra a complexidade da cadeia de suprimentos do lado da Microsoft, onde a correção foi mais sintática e não mitigou toda a classe de problemas relacionados abaixo do sistema operacional. E para deixar claro, a BlackLotus estava adotando uma exploração Baton Drop já conhecida publicamente”, continuou ele.
Embora o CVE-2022-21894 tenha sido corrigido no ano passado, o BlackLotus conseguiu usar o exploit porque os binários vulneráveis não foram adicionados à lista de revogação de UEFI. Isso mostra como mesmo as vulnerabilidades corrigidas podem “apresentar impacto de longo prazo na cadeia de suprimentos em todo o setor”, apontou Matrosov.
“Defensores corporativos e CISOs precisam entender que as ameaças abaixo do sistema operacional são claras e representam perigos para seus ambientes. Como esse vetor de ataque tem benefícios significativos para o invasor, ele só ficará mais sofisticado e complexo”, observou Matrosov.