Il codice sorgente di BlackLotus è stato pubblicato su GitHub. Non è completo, ma potrebbe essere ugualmente utile ai ricercatori di sicurezza. Ovviamente anche altri cybercriminali hanno l’opportunità di scaricarlo e modificarlo per sfruttare future vulnerabilità.
BlackLotus: bootkit molto pericoloso
BlackLotus è uno dei bootkit UEFI può pericolosi in assoluto. Può aggirare le protezioni del Secure Boot su computer Windows 11 con tutte la patch installate, disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity), ottenere la persistenza (esecuzione ad ogni avvio del computer) ed eseguire payload con privilegi kernel.
BlackLotus ha sfruttato prima la vulnerabilità CVE-2022-21894 e successivamente la vulnerabilità CVE-2023-24932. Microsoft ha rilasciato le patch, ma gli utenti devono anche effettuare una serie di operazioni manuali per revocare i certificati dei driver infetti.
Il bootkit era stato messo in vendita nel dark web a 5.000 dollari. Chi voleva il codice sorgente (in privato) doveva pagare altri 200 dollari. Due giorni fa è stato pubblicato su GitHub dall’utente Yukari. Alex Matrosov, fondatore e CEO di Binarly, ha confermano che il codice non è completo, ma contiene il codice per aggirare il Secure Boot.
Le tecniche usate dal bootkit sono note da molti anni, quindi non hanno un impatto significativo. Tuttavia è possibile combinarle con nuovi exploit per ottenere una versione aggiornata più pericolosa. Tra l’altro, la protezione delle patch di Microsoft è disattivata per default. Molti utenti hanno deciso di non attivarla perché c’è il rischio di non poter più avviare il computer.
Ti potrebbe interessare
14 lug 2023