Guide des publications Microsoft pour Windows Secure Boot, Defender, VBS, BlackLotus contournant BitLocker
Le mois dernier, WeLiveSecurity, l’aile de recherche en sécurité des solutions anti-malware d’ESET, a publié son rapport sur la vulnérabilité de sécurité BlackLotus .
Si vous ne le savez pas, BlackLotus est un bootkit UEFI, et ce qui rend ce malware particulièrement dangereux est sa capacité à contourner les systèmes Secure Boot même sur les systèmes Windows 11 mis à jour. En plus de cela, BlackLotus apporte également des modifications au registre pour désactiver l’intégrité du code protégé par l’hyperviseur (HVCI), qui est une fonctionnalité de sécurité basée sur la virtualisation (VBS) ; ainsi que le chiffrement BitLocker. Il désactive également Windows Defender en manipulant le pilote Early Launch Anti-Malware (ELAM) et le pilote de filtre du système de fichiers Windows Defender. Le but ultime est de déployer un téléchargeur HTTP qui délivre les charges utiles malveillantes.
Bien que la vulnérabilité de sécurité baptisée « Baton Drop » (CVE-2022-21894) ait été corrigée il y a un an, elle est toujours exploitée car les binaires signés n’ont pas encore été ajoutés à la liste de révocation UEFI. Dans un guide récemment publié, Microsoft a résumé les activités malveillantes que BlackLotus fait après avoir réussi à infester :
Le logiciel malveillant utilise CVE-2022-21894 (également connu sous le nom de Baton Drop) pour contourner le démarrage sécurisé de Windows et déployer ensuite des fichiers malveillants sur la partition système EFI (ESP) qui sont lancés par le micrologiciel UEFI. Cela permet au bootkit de :
- Atteindre la persistance en inscrivant la clé du propriétaire de la machine (MOK) de l’auteur de la menace
- Désactivez HVCI pour permettre le déploiement d’un pilote de noyau malveillant
- Tirez parti du pilote du noyau pour déployer le téléchargeur HTTP en mode utilisateur pour la commande et le contrôle (C2)
- Désactivez Bitlocker pour éviter les stratégies de protection anti-falsification sous Windows
- Désactivez Microsoft Defender Antivirus pour éviter une détection ultérieure
Dans ses conseils, le géant de la technologie a couvert en détail les techniques permettant de déterminer si les appareils d’une organisation sont infectés, ainsi que les stratégies de récupération et de prévention. Vous pouvez le lire sur le site officiel de Microsoft .
Laisser un commentaire