BlackLotus aggira tutte le protezioni di Windows 11

BlackLotus aggira tutte le protezioni di Windows 11

Il bootkit BlackLotus può aggirare il Secure Boot e disattivare Microsoft Defender, BitLocker e HVCI su computer con Windows 11 aggiornato.
BlackLotus aggira tutte le protezioni di Windows 11
Il bootkit BlackLotus può aggirare il Secure Boot e disattivare Microsoft Defender, BitLocker e HVCI su computer con Windows 11 aggiornato.

Tra i malware più pericolosi in assoluto ci sono i bootkit, in quanto possono prendere il controllo della sequenza di avvio del sistema operativo e disattivare tutti i meccanismi di protezione. Gli esperti di ESET hanno descritto il funzionamento di BlackLotus, venduto nel dark web a 5.000 dollari. Il malware sfrutta una vecchia vulnerabilità che consente di aggirare il Secure Boot dei firmware UEFI.

BlackLotus è difficile da bloccare

BlackLotus può essere eseguito sui computer con Secure Boot attivo e tutte le patch di sicurezza di Windows 11 installate. Il bootkit è in grado di disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity). Ciò avviene sfruttando la vulnerabilità CVE-2022-21894 che permette di aggirare il Secure Boot. La patch è stata rilasciata l’11 gennaio da Microsoft, ma è sufficiente utilizzare binari firmati non aggiunti alla UEFI revocation list.

Una volta ottenuta la persistenza (esecuzione ad ogni avvio del computer), BlackLotus installa un driver del kernel e un downloader HTTP. Il driver del kernel esegue diverse funzioni, tra cui quella che impedisce la rimozione del bootkit. Il downloader HTTP gestisce invece la connessione con il server C&C (command and control) e può scaricare altri malware.

Il driver inietta il downloader nello spazio degli indirizzi del processo winlogon.exe. Gli autori di BlackLotus hanno usato varie tecniche per impedire l’analisi del codice con strumenti di debugging o macchine virtuali. Tutti i file sono cifrati con crittografia AES a 256 bit. Inoltre le comunicazioni avvengono con protocollo HTTPS e i messaggi inviati dal downloader al server sono cifrati con crittografia RSA.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: ESET
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 mar 2023
Link copiato negli appunti