Microsoft publica una guía para Windows Secure Boot, Defender, VBS, BitLocker-bypassing BlackLotus
El mes pasado, WeLiveSecurity, el ala de investigación de seguridad de las soluciones antimalware de ESET, publicó su informe sobre la vulnerabilidad de seguridad de BlackLotus .
Si no lo sabe, BlackLotus es un kit de arranque UEFI, y lo que hace que este malware sea particularmente peligroso es su capacidad para eludir los sistemas de arranque seguro, incluso en los sistemas Windows 11 actualizados. Además de eso, BlackLotus también realiza modificaciones en el registro para deshabilitar la integridad del código protegido por hipervisor (HVCI), que es una función de seguridad basada en virtualización (VBS); así como el cifrado de BitLocker. También deshabilita Windows Defender manipulando el controlador Early Launch Anti-Malware (ELAM) y el controlador de filtro del sistema de archivos de Windows Defender. El propósito final es implementar un descargador HTTP que entregue las cargas útiles maliciosas.
Aunque la vulnerabilidad de seguridad denominada «Baton Drop» (CVE-2022-21894) se corrigió hace un año, todavía se explota porque los archivos binarios firmados aún no se han agregado a la lista de revocación de UEFI. En una guía publicada recientemente, Microsoft ha resumido las actividades maliciosas que realiza BlackLotus después de haber logrado infestar:
El malware utiliza CVE-2022-21894 (también conocido como Baton Drop) para evitar el arranque seguro de Windows y, posteriormente, implementar archivos maliciosos en la partición del sistema EFI (ESP) que inicia el firmware UEFI. Esto permite que el bootkit:
- Logre la persistencia al inscribir la clave de propietario de la máquina (MOK) del actor de amenazas
- Desactive HVCI para permitir la implementación de un controlador de kernel malicioso
- Aproveche el controlador del kernel para implementar el descargador HTTP en modo de usuario para comando y control (C2)
- Desactive Bitlocker para evitar estrategias de protección contra manipulaciones en Windows
- Desactive Microsoft Defender Antivirus para evitar una mayor detección
En su guía, el gigante tecnológico ha cubierto, en detalle, las técnicas para determinar si los dispositivos de una organización están infectados, así como las estrategias de recuperación y prevención. Puedes leerlo en el sitio web oficial de Microsoft .
Deja una respuesta