Les chercheurs en sécurité de chez ESET alertent au sujet de BlackLotus, un bootkit redoutable qui est capable de bypasser le Secure Boot et d’autres composants de Windows ! Faisons le point !
Imaginez une machine sous Windows 11, entièrement à jour afin d’être protégée contre les failles de sécurité connues, et avec le Secure Boot actif dans les options UEFI. Malgré cette configuration, elle est vulnérable au bootkit BlackLotus. Au passage, il est capable aussi de bypasser l’UAC, et de désactiver BitLocker, Windows Defender et la fonction Hypervisor-Protected (HVCI) prise en charge par Windows 10 et Windows 11.
Comment est-ce possible ? Et bien, ce bootkit exploite la vulnérabilité CVE-2022-21894 (alias Baton Drop) pour contourner la sécurité du Secure Boot et compromettre la machine Windows ! Pourtant, cette faille de sécurité a été patchée par Microsoft à l’occasion de la sortie du Patch Tuesday de Janvier 2022.
L’infection s’effectue en plusieurs étapes et cette faille de sécurité est exploitée au redémarrage de la machine Windows.
D’après Martin Smolár de chez ESET, c’est la première fois que cette vulnérabilité est exploitée par un logiciel malveillant. Ou en tout cas, c’est le premier cas connu. Il estime que ce n’est pas surprenant qu’elle soit toujours exploitable, car d’après lui, l’UEFI est complexe et difficile à patcher.
Le chercheur de chez ESET précise : « Bien que la vulnérabilité ait été corrigée dans la mise à jour de Microsoft de janvier 2022, son exploitation est toujours possible car les binaires concernés n’ont toujours pas été ajoutés à la liste de révocation UEFI. Par conséquent, les attaquants peuvent apporter leurs propres copies des binaires vulnérables sur les machines de leurs victimes pour exploiter cette vulnérabilité et contourner Secure Boot sur les systèmes UEFI à jour. » – Ce que fait BlackLotus.