Les pirates ont développé un bootkit appelé BlackLotus qui est capable de contourner les protections de sécurité intégrées dans Windows 11 pour installer des logiciels malveillants et prendre le contrôle total des PC vulnérables.
Découvert pour la première fois en octobre de l’année dernière, BlackLotus est une interface de micrologiciel extensible unifiée (UEFI) rootkit du micrologiciel qui peut être utilisé pour créer des portes dérobées sur les machines Windows. Comme avec d’autres types de logiciels malveillants, il est vendu sur le toile sombre pour le prix initial de 5 000 $ avec des mises à niveau vers de nouvelles versions coûtant 200 $.
Ce qui rend BlackLotus et les autres bootkits UEFI particulièrement dangereux, c’est le fait qu’ils sont déployés dans le micrologiciel d’un PC Windows et donnent aux pirates un contrôle total sur le démarrage du système d’exploitation. Selon Les nouvelles des pirates (s’ouvre dans un nouvel onglet)cela permet aux pirates de désactiver les mécanismes de sécurité intégrés au système d’exploitation et de déployer des charges utiles avec des privilèges élevés.
Maintenant cependant, un nouveau rapport (s’ouvre dans un nouvel onglet) depuis ESET a mis en lumière la capacité de BlackLotus à contourner le démarrage sécurisé UEFI sur les systèmes Windows 11 entièrement mis à jour.
Pas seulement des logiciels malveillants ordinaires
Au cours de son enquête sur l’affaire, ESET a découvert six installateurs BlackLotus différents après avoir trouvé des modèles de code dans des échantillons apportés à la société de cybersécurité. Cela a conduit ses chercheurs à réaliser que BlackLotus n’est pas seulement un logiciel malveillant ordinaire.
En plus de fonctionner sur des systèmes avec UEFI Secure Boot activé, le bootkit peut même désactiver les mécanismes de sécurité intégrés dans Windows, y compris BitLocker, HVCI et même Windows Defender. BlackLotus laisse également un pilote de noyau et un téléchargeur HTTP sur les systèmes infectés, ce qui lui permet de communiquer avec un serveur de commande et de contrôle (C&C) pour récupérer des logiciels malveillants supplémentaires.
Bien que la mise à jour vers la dernière version d’un système d’exploitation puisse généralement vous protéger, ce bootkit exploite une vulnérabilité identifiée comme CVE-2022-21894 (s’ouvre dans un nouvel onglet) qui a déjà été corrigé. Cependant, comme les binaires UEFI vulnérables n’ont toujours pas été révoqués, BlackLotus peut « opérer furtivement sur les systèmes avec UEFI Secure Boot activé » selon ESET.
Devriez-vous vous inquiéter pour BlackLotus ?
BlackLotus est certainement dangereux et une menace pour la meilleurs ordinateurs exécutant Windows 11. Cependant, un bootkit qui coûte 5 000 $ sera probablement utilisé à des fins d’espionnage par des pirates ou des cybercriminels d’États-nations essayant de recueillir des informations sur leur prochaine grande cible.
Les pirates ordinaires disposent déjà de nombreux outils dans leur arsenal qu’ils utilisent contre des consommateurs tels que applications malveillantes et e-mails d’hameçonnage tandis que BlackLotus sera probablement utilisé pour cibler les entreprises clientes et très probablement même les gouvernements.
Néanmoins, si vous êtes inquiet, c’est toujours une bonne idée de mettre à jour votre ordinateur et surtout votre navigateur pour vous assurer que vous utilisez le dernier logiciel. De même, le meilleur logiciel antivirus peut vous aider à vous protéger contre la majorité des cybermenaces tandis que le meilleure protection contre le vol d’identité peut vous aider à récupérer de l’usurpation de votre identité et des pertes financières que vous pourriez avoir subies en conséquence.
Microsoft et les fabricants de PC sont bien conscients de la menace qu’un bootkit comme BlackLotus peut faire, c’est pourquoi les binaires UEFI vulnérables qu’il exploite seront probablement bientôt révoqués.