Le composant UEFI, héritier de l’ancien BIOS est le premier rempart contre les intrusions qui s’attaquent à Windows puisqu’il contrôle son démarrage. En principe, UEFI prend en charge le démarrage sécurisé, empêchant l’OS de Microsoft d'être endommagé par des malwares. Mais depuis au moins début octobre 2022, le bootkit BlackLotus est vendu sur des forums pirates selon un communiqué de l’éditeur de solutions de sécurité ESET. Il est capable de désactiver les mécanismes de sécurité de l’OS de Microsoft tels BitLocker (chiffrement disques), HVCI (protection du noyau de Windows) et le parefeu Windows Defender. Une fois installé, le rôle essentiel du bootkit consiste à déployer un pilote de noyau qui, notamment, protège le bootkit contre sa suppression. Il ajoute aussi un téléchargeur HTTP pour communiquer avec le serveur de commande et de contrôle et il est ainsi capable de mettre en mémoire des charges malveillantes en mode utilisateur ou en mode noyau.
« Notre enquête a commencé avec quelques détections de ce qui s'est avéré être (avec un niveau de confiance élevé) le composant utilisateur BlackLotus - un téléchargeur HTTP - à la fin de l'année 2022. Après une évaluation initiale, les similitudes du code trouvé dans les échantillons nous ont conduits à la découverte de six installateurs de BlackLotus. Cela nous a permis d'explorer l'ensemble de la chaîne d'exécution et de réaliser qu’il ne s’agit pas d’un simple malware » explique Martin Smolár, le chercheur d'ESET qui a dirigé l'enquête sur le bootkit.
Une menace potentielle dangereuse
Bien que la vulnérabilité de l’UEFI ait été corrigée par une mise à jour de janvier 2022 par Microsoft, son exploitation est toujours possible car le code malveillant n'est toujours pas ajouté à la liste de révocation de l’UEFI. Le risque majeur reste que si BlackLotus tombe entre les mains de groupes de cybercriminels, il ne soit exploité à grande échelle.De nombreuses vulnérabilités critiques affectent l’intégrité de l’UEFI mais la complexité de la chaîne d'approvisionnement logicielle connexe, rend Windows vulnérable, même longtemps après correction des vulnérabilités. Curieusement, certains codes installateurs de BlackLotus analysés par ESET ne procèdent pas à son implémentation si l'hôte compromis utilise des paramètres régionaux provenant d'Arménie, du Bélarus, du Kazakhstan, de Moldavie, de Russie ou d'Ukraine.
Face à ce type de menace, la protection basique consiste à mettre à jour l’OS avec les correctifs de sécurité de Windows, ceux de l’UEFI ainsi que ceux des outils de protection. Le but étant, bien entendu, d’éviter la contamination persistante de l’OS et la compromission éventuelle des données.