Microsoft avait largement communiqué au lancement de Windows 11 sur la sécurité renforcée. Cette dernière est cependant mise à mal par le premier bootkit connu à pouvoir passer toutes ses défenses – y compris le Secure Boot – dans le but d’introduire une charge virale.
BlackLotus est un bootkit dont les premières détections ont été faites par le chercheur en sécurité Sergey Lozhkin de chez Kaspersky, en octobre dernier. Mais de l’avis d’ESET, qui vient de publier un article dédié, cette nouvelle version représente un grand bond en avant « en termes de facilité d’utilisation, de mise à l’échelle, d’accessibilité et, surtout, de potentiel pour un impact beaucoup plus important en matière de persistance, d’évasion et de destruction ».
Le danger vient également de son prix, car BlackLotus est vendu à peine 5 000 dollars sur certains sites spécialisés, auxquels s’ajoutent 200 dollars pour chaque version ultérieure. Pour ce tarif, les possibilités offertes sont nombreuses.
Ce que sait faire BlackLotus
BlackLotus est un bootkit, c’est-à-dire un morceau de code ayant la capacité de s’installer très tôt dans la chaine de démarrage de l’ordinateur. Si tôt qu’il peut se charger avant même la grande majorité des sécurités, y compris le Secure Boot, qui a justement pour objectif de valider l’intégrité des différents éléments de la chaine.
Son objectif premier est d’exploiter la vulnérabilité CVE-2022-21894, nommée aussi Baton Drop. Cette faille a été corrigée par Microsoft il y a plus d’un an (en janvier 2022). En cas d’exploitation réussie, il installe un pilote en espace noyau et un téléchargeur HTTP dont le rôle est de communiquer avec un serveur command-and-control (C2) pour recevoir des instructions.