I ricercatori di ESET hanno scoperto e analizzato un nuovo bootkit UEFI che permette di installare backdoor in Windows, superando le tecnologie di sicurezza implementate da Microsoft. ESPecter può quindi facilitare le attività di spionaggio. Il famoso Secure Boot, uno dei requisiti minimi per l’installazione di Windows 11, non sarebbe sufficiente per evitare eventuali attacchi.
ESPecter: bootkit per lo spionaggio
Gli esperti di ESET avevano scoperto il bootkit nel 2012, quando il target era il vecchio BIOS. La versione più recente colpisce invece UEFI (Unified Extensible Firmware Interface). ESPecter riesce ad eludere le difese del sistema operativo (Secure Boot in particolare), guadagnando il controllo del processo di avvio. Ciò avviene mediante la sostituzione del Windows Boot Manager (bootmgfw.efi) con una versione modificata.
Il bootkit elude successivamente il Windows Driver Signature Enforcement (DSE), ovvero la verifica della firma dei driver, eseguendo un driver non firmato all’avvio del sistema operativo. Questo driver scarica due componenti aggiuntivi che permettono ai cybercriminali di controllare il computer da remoto e installare altri malware. ESPecter rimane nella EFI System Partition (ESP), quindi non può essere eliminato facilmente.
I componenti aggiuntivi sono WinSys.dll e Client.dll. Il primo viene sfruttato per il collegamento ai server C&C (command and control), mentre il secondo funziona come backdoor, consentendo di rubare documenti, effettuare screenshot e rilevare i tasti premuti (keylogging).
Sui PC Windows con UEFI è necessario disattivare il Secure Boot per modificare il Windows Boot Manager. I cybecriminali hanno sicuramente trovato il modo di farlo, ma ESET non ha scoperto come. Ci sono possibili scenari: accesso fisico al dispositivo, Secure Boot già disattivato dall’utente, vulnerabilità ignota del firmware UEFI oppure vulnerabilità nota, ma firmware non aggiornato.