Codice sorgente per BlackLotus che ha aggirato Windows Secure Boot, Microsoft Defender, VBS, perdite

Pochi giorni fa, tramite il suo Patch Tuesday di luglio, Microsoft ha implementato la seconda fase di rafforzamento per la vulnerabilità di avvio sicuro di BlackLotus. Per risolvere il problema sono stati rilasciati aggiornamenti dinamici del sistema operativo sicuro sia per Windows 11 che per Windows 10 . La prima fase è avvenuta circa quattro mesi fa, nel marzo 2023.

Per chi non lo sapesse, BlackLotus era famigerato per la sua capacità di aggirare varie misure di sicurezza di Windows come Secure Boot (che è ovvio in quanto è un difetto di avvio sicuro), così come Microsoft Defender, Virtualization-based Security (VBS) o HVCI (Hypervisor- Protected Code Integrity), BitLocker e UAC (controllo dell’account utente), anche su sistemi Windows con patch dell’epoca.

Nel frattempo, anche il codice sorgente di BlackLotus è trapelato quasi nello stesso momento. È stato caricato su GitHub da un utente Yukari che ha rimosso la vulnerabilità Baton Drop (CVE-2022-21894) inizialmente utilizzata dagli sviluppatori di malware.

Alex Matrosov, CEO e co-fondatore della società di ricerca sulla sicurezza Binarly, ha espresso preoccupazione per la sua fuga di notizie e ha fornito la seguente dichiarazione a Neowin spiegando le potenziali implicazioni:

Il codice sorgente trapelato non è completo e contiene principalmente la parte rootkit e il codice bootkit per aggirare Secure Boot. La maggior parte di questi trucchi e tecniche sono noti da anni e non hanno un impatto significativo. Tuttavia, il fatto che sia possibile combinarli con nuovi exploit come ha fatto la campagna BlackLotus è stato qualcosa di inaspettato per l’industria e mostra i reali limiti delle attuali mitigazioni al di sotto del sistema operativo.

La perdita di BlackLotus mostra come i vecchi trucchi di rootkit e bootkit, combinati con le nuove vulnerabilità di bypass di Secure Boot, possano ancora essere molto efficaci nell’accecare molte moderne soluzioni di sicurezza degli endpoint. In generale, mostra la complessità della catena di approvvigionamento sul lato Microsoft, dove la correzione è stata più sintattica e non ha mitigato l’intera classe di problemi correlati al di sotto del sistema operativo. E per essere chiari, BlackLotus stava adottando un exploit BatonDrop già noto al pubblico.

Anche dopo che il fornitore ha risolto le vulnerabilità del bypass di avvio sicuro relative a BatonDrop, le vulnerabilità possono presentare un impatto a lungo termine sulla catena di fornitura a livello di settore. L’uso di CVE-2022-21894 come esempio mostra come tali vulnerabilità possono essere sfruttate in natura dopo un anno, anche con una correzione del fornitore disponibile.

I difensori aziendali e i CISO devono capire che le minacce al di sotto del sistema operativo sono chiare e presentano pericoli per i loro ambienti. Poiché questo vettore di attacco ha vantaggi significativi per l’attaccante, diventerà solo più sofisticato e complesso. Le affermazioni dei fornitori sulle funzionalità di sicurezza possono essere completamente opposte alla realtà.

Le preoccupazioni sono certamente giustificate dal momento che gli sviluppatori di malware stanno migliorando nel loro lavoro. Recentemente, la società di sicurezza Cisco Talos ha elogiato l’abilità degli sviluppatori di RedDriver notando che la stabilità del driver era quasi impeccabile in quanto non è mai stata BSOD (schermata blu della morte).