Code source pour BlackLotus qui a contourné Windows Secure Boot, Microsoft Defender, VBS, les fuites

Il y a quelques jours, via son Patch Tuesday de juillet, Microsoft a déployé la deuxième phase de durcissement de la vulnérabilité de démarrage sécurisé BlackLotus. Des mises à jour dynamiques de Safe OS pour Windows 11 et Windows 10 ont été publiées pour résoudre le problème. La première phase s’est déroulée il y a environ quatre mois, en mars 2023.

Pour ceux qui ne le savaient pas, BlackLotus était tristement célèbre pour sa capacité à contourner diverses mesures de sécurité Windows comme Secure Boot (ce qui est évident car il s’agit d’une faille de démarrage sécurisée), ainsi que Microsoft Defender, Virtualization-based Security (VBS) ou HVCI (Hypervisor- Protected Code Integrity), BitLocker et UAC (contrôle de compte d’utilisateur), même sur les systèmes Windows corrigés de l’époque.

Pendant ce temps, le code source de BlackLotus a également fui presque au même moment. Il a été téléchargé sur GitHub par un utilisateur Yukari qui a supprimé la vulnérabilité Baton Drop (CVE-2022-21894) qui était initialement utilisée par les développeurs de logiciels malveillants.

Alex Matrosov, PDG et co-fondateur de la société de recherche en sécurité Binarly, a exprimé son inquiétude face à sa fuite et a fourni la déclaration suivante à Neowin expliquant les implications potentielles :

Le code source divulgué n’est pas complet et contient principalement la partie rootkit et le code du bootkit pour contourner le démarrage sécurisé. La plupart de ces astuces et techniques sont connues depuis des années et ne présentent pas d’impact significatif. Cependant, le fait qu’il soit possible de les combiner avec de nouveaux exploits comme l’a fait la campagne BlackLotus était quelque chose d’inattendu pour l’industrie et montre les limites réelles des atténuations actuelles sous le système d’exploitation.

La fuite de BlackLotus montre à quel point les anciennes astuces de rootkit et de bootkit, combinées aux nouvelles vulnérabilités de contournement de Secure Boot, peuvent encore être très efficaces pour aveugler de nombreuses solutions modernes de sécurité des terminaux. En général, cela montre la complexité de la chaîne d’approvisionnement côté Microsoft, où le correctif a été plus syntaxique et n’a pas atténué toute la classe de problèmes connexes sous le système d’exploitation. Et pour être clair, BlackLotus adoptait un exploit BatonDrop déjà connu du public.

Même après que le fournisseur a corrigé les vulnérabilités de contournement de démarrage sécurisé liées à BatonDrop, les vulnérabilités peuvent avoir un impact à long terme sur la chaîne d’approvisionnement à l’échelle de l’industrie. L’utilisation de CVE-2022-21894 comme exemple montre comment de telles vulnérabilités peuvent être exploitées dans la nature après un an, même avec un correctif de fournisseur disponible.

Les défenseurs des entreprises et les RSSI doivent comprendre que les menaces sous le système d’exploitation sont claires et présentent des dangers pour leurs environnements. Étant donné que ce vecteur d’attaque présente des avantages significatifs pour l’attaquant, il ne fera que devenir plus sophistiqué et complexe. Les affirmations des fournisseurs sur les fonctionnalités de sécurité peuvent être complètement à l’opposé de la réalité.

Les inquiétudes sont certainement justifiées car les développeurs de logiciels malveillants s’améliorent dans leur travail. Récemment, la société de sécurité Cisco Talos a fait l’éloge de la capacité des développeurs de RedDriver en notant que la stabilité du pilote était presque impeccable car il n’a jamais eu de BSOD (écran bleu de la mort).