Guia de postagens da Microsoft para Windows Secure Boot, Defender, VBS, BlackLotus ignorando o BitLocker

No mês passado, WeLiveSecurity, a ala de pesquisa de segurança das soluções antimalware da ESET, divulgou seu relatório sobre a vulnerabilidade de segurança BlackLotus .

Se você não sabe, o BlackLotus é um bootkit UEFI, e o que torna esse malware particularmente perigoso é sua capacidade de ignorar os sistemas Secure Boot, mesmo em sistemas Windows 11 atualizados. Além disso, o BlackLotus também faz modificações no registro para desabilitar o Hypervisor-protected Code Integrity (HVCI), que é um recurso de segurança baseada em virtualização (VBS); bem como a criptografia do BitLocker. Ele também desativa o Windows Defender manipulando o driver Early Launch Anti-Malware (ELAM) e o driver de filtro do sistema de arquivos do Windows Defender. O objetivo final é implantar um downloader HTTP que entrega as cargas maliciosas.

Embora a vulnerabilidade de segurança apelidada de “Baton Drop” (CVE-2022-21894) tenha sido corrigida há um ano, ela ainda é explorada, pois os binários assinados ainda não foram adicionados à lista de revogação de UEFI. Em uma orientação publicada recentemente, a Microsoft resumiu as atividades maliciosas que o BlackLotus faz depois de conseguir infestar:

O malware usa CVE-2022-21894 (também conhecido como Baton Drop) para ignorar o Windows Secure Boot e, posteriormente, implantar arquivos maliciosos na EFI System Partition (ESP) que são iniciados pelo firmware UEFI. Isso permite que o bootkit:

1. Obtenha persistência registrando a Chave do Proprietário da Máquina (MOK) do agente da ameaça
2. Desative o HVCI para permitir a implantação de um driver de kernel malicioso
3. Aproveite o driver do kernel para implantar o downloader HTTP de modo de usuário para comando e controle (C2)
4. Desative o Bitlocker para evitar estratégias de proteção contra violação no Windows
5. Desative o Microsoft Defender Antivirus para evitar mais detecção

Em sua orientação, a gigante da tecnologia abordou, em detalhes, as técnicas para determinar se os dispositivos de uma organização estão infectados, bem como as estratégias de recuperação e prevenção. Você pode lê-lo no site oficial da Microsoft .