Microsoft pubblica una guida per Windows Secure Boot, Defender, VBS, BitLocker che aggira BlackLotus

Il mese scorso, WeLiveSecurity, l’ala di ricerca sulla sicurezza delle soluzioni anti-malware ESET, ha pubblicato il suo rapporto sulla vulnerabilità della sicurezza di BlackLotus .

Se non sei a conoscenza, BlackLotus è un bootkit UEFI e ciò che rende questo malware particolarmente pericoloso è la sua capacità di aggirare i sistemi di avvio sicuro anche su sistemi Windows 11 aggiornati. Oltre a ciò, BlackLotus apporta anche modifiche al registro per disabilitare l’integrità del codice protetto da hypervisor (HVCI), che è una funzionalità di sicurezza basata sulla virtualizzazione (VBS); così come la crittografia BitLocker. Disabilita anche Windows Defender manipolando il driver ELAM (Early Launch Anti-Malware) e il driver del filtro del file system di Windows Defender. Lo scopo finale è distribuire un downloader HTTP che fornisca i payload dannosi.

Sebbene la vulnerabilità di sicurezza denominata “Baton Drop” (CVE-2022-21894) sia stata corretta un anno fa, è ancora sfruttata poiché i binari firmati non sono ancora stati aggiunti all’elenco di revoche UEFI. In una guida pubblicata di recente, Microsoft ha riassunto le attività dannose che BlackLotus esegue dopo che è riuscito a infestare:

Il malware utilizza CVE-2022-21894 (noto anche come Baton Drop) per aggirare Windows Secure Boot e successivamente distribuire file dannosi nella partizione di sistema EFI (ESP) avviata dal firmware UEFI. Ciò consente al bootkit di:

1. Ottieni la persistenza registrando la Machine Owner Key (MOK) dell’autore della minaccia
2. Disattiva HVCI per consentire la distribuzione di un driver del kernel dannoso
3. Sfrutta il driver del kernel per distribuire il downloader HTTP in modalità utente per comando e controllo (C2)
4. Disattiva Bitlocker per evitare strategie di protezione dalle manomissioni su Windows
5. Disattiva Microsoft Defender Antivirus per evitare ulteriori rilevamenti

Nella sua guida, il gigante della tecnologia ha coperto, in dettaglio, le tecniche per determinare se i dispositivi di un’organizzazione sono infetti, nonché le strategie di ripristino e prevenzione. Puoi leggerlo sul sito ufficiale di Microsoft .