Wouter Hoeffnagel - 03 maart 2023

BlackLot UEFI bootkit kan UEFI Secure Boot omzeilen

BlackLot UEFI bootkit kan UEFI Secure Boot omzeilen image

Een nieuw ontdekte UEFI bootkit kan een essentiële beveiligingsfunctie van het platform - Secure Boot - omzeilen. De functionaliteit van de bootkit en zijn individuele kenmerken doen vermoeden dat het om een dreiging gaat die bekend staat als BlackLotus, een UEFI bootkit die sinds tenminste oktober 2022 op hackingforums wordt verkocht voor 5.000 dollar. Deze bootkit kan zelfs draaien op volledig up-to-date Windows 11 systemen met UEFI Secure Boot ingeschakeld.

Hiervoor waarschuwt ESET Research. "Ons onderzoek begon met een paar hits op wat (met een hoge mate van betrouwbaarheid) de BlackLotus user-mode component bleek te zijn - een HTTP downloader - in onze telemetrie eind 2022. Na een eerste beoordeling brachten de gevonden codepatronen in de monsters ons tot de ontdekking van zes BlackLotus-installers. Hierdoor konden we de hele uitvoeringsketen onderzoeken en realiseerden wij ons  dat we hier niet te maken hadden met gewone malware," zegt Martin Smolár, de ESET-onderzoeker die het onderzoek naar de bootkit leidde.

Oude kwetsbaarheid

De bootkit maakt gebruik van een kwetsbaarheid van meer dan een jaar oud (CVE-2022-21894) om Secure Boot te omzeilen en persistence in te stellen voor de bootkit. Dit is het eerste openbaar bekende misbruik van deze kwetsbaarheid in-the-wild. Hoewel de kwetsbaarheid is verholpen in Microsofts update van januari 2022, is misbruik ervan nog steeds mogelijk omdat de getroffen, geldig ondertekende binaries nog steeds niet zijn toegevoegd aan de UEFI revocation list. BlackLotus maakt hier misbruik van door zijn eigen kopieën van legitieme - maar kwetsbare - binaries naar het systeem te brengen om de kwetsbaarheid uit te buiten.

BlackLotus kan beveiligingsmechanismen van het besturingssysteem uitschakelen, zoals BitLocker, HVCI en Windows Defender. Eenmaal geïnstalleerd, is het belangrijkste doel van de bootkit om een kerneldriver (die onder andere de bootkit beschermt tegen verwijdering) en een HTTP downloader te installeren. Die laatste is verantwoordelijk voor de communicatie met de Command and Control server en is in staat om extra user-mode of kernel-mode payloads te laden. Interessant is dat sommige van de BlackLotus-installers die ESET heeft de bootkit-installatie niet doorzetten als de gecompromitteerde host locales gebruikt uit Armenië, Wit-Rusland, Kazachstan, Moldavië, Rusland of Oekraïne.

Sinds oktober 2022 beschikbaar

BlackLotus wordt al minstens sinds begin oktober 2022 geadverteerd en verkocht op ondergrondse fora. "We kunnen nu bewijs presenteren dat deze bootkit echt is en dat de advertentie niet slechts een scam is," zegt Smolár. "Het lage aantal BlackLotus-monsters dat we hebben kunnen verkrijgen, zowel uit openbare bronnen als uit onze telemetrie, doet ons geloven dat nog niet veel dreigingsactoren het gebruiken. We vrezen dat dit snel kan veranderen als deze bootkit in handen komt van crimeware groepen, aangezien de eenvoudige inzetbaarheid van de bootkit en de mogelijkheden van crimeware groepen om malware te verspreiden met behulp van hun botnets."

De afgelopen jaren zijn veel kritieke kwetsbaarheden ontdekt die de veiligheid van UEFI-systemen aantasten. Door de complexiteit van het hele UEFI-ecosysteem en de daarmee samenhangende problemen in de supply chain zorgen veel van deze kwetsbaarheden helaas nog lange tijd voor kwetsbare systemen zelfs nadat de kwetsbaarheden zijn verholpen, of in ieder geval sinds bekend is gemaakt dat ze zijn verholpen.

Controle over opstartproces overnemen

ESET Research omschrijft UEFI-bootkits als zeer krachtige cyberdreigingen, die volledige controle krijgen over het opstartproces van het besturingssysteem. Hierdoor zijn deze dreigingen in staat om verschillende beveiligingsmechanismen van het besturingssysteem uit te schakelen en hun eigen kernel- of gebruikersmodus payloads in te zetten in de vroege opstartfasen. Op die manier kunnen zij zeer onopvallend en met hoge privileges opereren.

Tot dusver zijn er slechts enkele UEFI-bootkits in-the-wild ontdekt en openbaar beschreven. UEFI-bootkits verliezen mogelijk aan stealthiness in vergelijking met firmware-implantaten - zoals LoJax, het eerste in-the-wild UEFI-firmware-implantaat, ontdekt door ESET Research in 2018 - omdat bootkits zich op een gemakkelijk toegankelijke FAT32-schijfpartitie bevinden. Het draaien als bootloader geeft ze echter bijna dezelfde mogelijkheden, zonder dat ze meerdere lagen beveiligingsfuncties die beschermen tegen firmware-implantaten hoeven te overwinnen.

Up-to-date houden

"Het beste advies is natuurlijk om uw systeem en het bijbehorende beveiligingsproduct up-to-date te houden om de kans te vergroten dat een dreiging meteen in het begin wordt gestopt, voordat deze pre-OS persistentie kan bereiken," besluit Smolár.

Bekijk voor meer technische informatie over BlackLotus, samen met advies over mitigatie en herstel, de blogpost 'BlackLotus UEFI Bootkit: Myth confirmed' op WeLiveSecurity.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!