ESET ontdekt BlackLotus-bootkit die Secure Boot kan omzeilen

Beveiligingsbedrijf ESET heeft een zogeheten uefi-bootkit ontdekt waarmee het mogelijk is Secure Boot te omzeilen, zelfs op moderne Windows 11-systemen. De BlackLotus-bootkit gebruikt een kwetsbaarheid die wel is gepatcht, maar waarvan sommige binary's nog niet zijn doorgevoerd.

ESET BlackLotus bootkit uefi secure boot

ESET bevestigt in een onderzoek het bestaan van de bootkit, die BlackLotus wordt genoemd. Er gingen vorig jaar al geruchten rond dat een dergelijke malware op fora werd verkocht, maar nu zegt ESET de bootkit ook te hebben gevonden en te hebben onderzocht. BlackLotus wordt op het darkweb verkocht voor 5000 dollar.

De bootkit maakt het mogelijk om Secure Boot in de uefi van pc's te omzeilen. Daarvoor zijn volgens ESET weinig kwetsbaarheden voor nodig; dat kan zelfs op een volledig bijgewerkte Windows 11-pc. De bootkit maakt misbruik van een kwetsbaarheid die inmiddels meer dan een jaar oud is, CVE-2022-21894, een kwetsbaarheid die ook wel Baton Drop wordt genoemd. Microsoft heeft die bug in januari van 2022 gerepareerd, maar volgens ESET kan de BlackLotus-bootkit de kwetsbaarheid nog steeds uitbuiten.

Dat kan omdat nog niet alle getroffen binary's aan de officiële uefi-revocation-lijst zijn toegevoegd. Daardoor kan BlackLotus zijn eigen binary's toevoegen aan de uefi, waarbij het lijkt alsof dat legitieme binary's zijn. Die worden daarom niet tegengehouden door Secure Boot.

Volgens ESET kan de bootkit zelfs persistence krijgen. Als de binary's succesvol geladen worden, installeert de bootkit een kerneldriver die een verbinding opzet met een command-and-control-server. De bootkit kan ook andere beveiligingsonderdelen van Windows uitschakelen, waaronder Bitlocker, Windows Defender en HVCI.

De bootkit wordt verkocht op fora, maar het is vooralsnog niet bekend hoe groot de verspreiding is en tegen welk soort doelwitten de bootkit wordt ingezet. In de installers staan enkele geofences; de bootkit wordt niet geïnstalleerd als de pc is ingesteld als Roemeens, Russisch, Oekraïens, Wit-Russisch, Armeens en Kazachstaans.

Reacties (44)

pepsiblik 1 maart 2023 22:00

https://www.welivesecurit...i-bootkit-myth-confirmed/

De Geofence lijst klopt niet helemaal. De uitgesloten landen zijn Moldavië (Roemeens en Russisch), Rusland (Russisch), Oekraine (Oekraiens), Wit-Rusland (Wit Russisch), Kazachstan (Kazachstaans) en Armenië (Armeens). Dus een PC met Kazachstan / Russisch zou wel worden geïnfecteerd.

@TijsZonderH FYI

[Reactie gewijzigd door pepsiblik op 22 juli 2024 22:03]

ToolBee @pepsiblik • 2 maart 2023 12:50

Kortom, ieder land met Cyrillisch schrift.

De N-Koreaanse hackers sluiten vaak alle chinese karaktersets uit...

mrmrmr @ToolBee • 2 maart 2023 17:10

Nee, er zijn nog veel meer gebieden waar Cyrillisch schrift wordt gebruikt.

Wat pepsiblik zegt klopt. Kazakh (Kazakhstan), kk-KZ staat in de lijst, maar ru-KZ niet. Dat is waarschijnlijk slordigheid van de maker. Wel handig om potentieel eerder werk mee te kunnen opsporen.

Als je wil verkopen aan criminele Russen op malwareforums stop je zo'n lijst in je wanproduct, want dit soort criminelen zijn bang van de Russische overheid van wie ze veel mogen, behalve Russen aanvallen.

pepsiblik @ToolBee • 3 maart 2023 08:37

Nee. Het zijn allemaal bondgenoten van Rusland (behalve Oekraine natuurlijk), danwel landen waar de Russen troepen hebben. Landen als Bulgarije en Tzadjikistan hebben ook Cyrillisch schrift en die staan niet op de lijst. Ook interessant is dat bijvoorbeeld iemand met een Kazachstaanse Windows in de Engelse taal, dit stukje software wel in zijn maag gesplitst krijgt.

Yzord 1 maart 2023 21:36

Waaruit je dus mag veronderstellen dat dit van Russisch makelaardij is. Zoals vaker geopperd, WW3 wordt niet zozeer met legers over land, zee en lucht gevoerd, maar digitaal. Daar is waar je serieuze slagen kan maken vanuit een bunker.

En als ik het zo lees is het een vernuftig opgezette bootkit. Het wordt steeds geavanceerder en het is wachten op de atoombom onder deze tools.

Blacklight447 @Yzord • 1 maart 2023 21:44

Grappig is juist dat Inge Bryan van Fox IT bij de laatste security en privacy meetup heeft uitgelegd dat er juist opvallend weinig dingen op het digitale front zijn gebeurd rondom de russen, wat we wel hadden verwacht door de oorlog in oekraine.

Muncher @Blacklight447 • 2 maart 2023 00:25

Ik ken de talk niet, maar helemaal opvallend is het niet. De Amerikanen hebben ook meegeholpen Oekraïne voorbereid te zijn op digitale aanvallen. Mooi stuk uit het FT van een jaar geleden. https://www.ft.com/conten...06-42fd-a6d5-735578651471

Titel: The secret US mission to bolster Ukraine’s cyber defences ahead of Russia’s invasion.

Voorbeeldje uit het stuk:

In the Ukrainian Railways, the team of American soldiers and civilians found and cleaned up one particularly pernicious type of malware, which cyber security experts dub “wiperware” — disabling entire computer networks simply by deleting crucial files on command.

In just the first 10 days of the Russian invasion, nearly 1mn Ukrainian civilians escaped to safety on the rail network. If the malware had remained undiscovered and was triggered, “it could have been catastrophic”, said a Ukrainian official familiar with the issue.

A similar malware went undetected within the border police, and last week, as hundreds of thousands of Ukrainian women and children tried to leave the country, computers at the crossing to Romania were disabled, adding to the chaos, according to people familiar with the matter.

[Reactie gewijzigd door Muncher op 22 juli 2024 22:03]

xzaz @Blacklight447 • 2 maart 2023 00:10

Of Fox IT ziet het allemaal niet.

PageFault @xzaz • 2 maart 2023 07:59

Juist, dat was mijn eerste gedachte dus ook. Ze doen het zo goed, dat het echt niet opvalt.

Drogo @Blacklight447 • 1 maart 2023 21:57

Er is veel geprobeerd door de Russen, maar weinig geslaagd. Een beetje vergelijkbaar met het daadwerkelijke front dus.

YangWenli @Drogo • 2 maart 2023 12:48

Hackers houden niet van dienstplicht.

Uhuruburu @Yzord • 2 maart 2023 06:50

WW3 wordt niet zozeer met legers over land, zee en lucht gevoerd, maar digitaal. Daar is waar je serieuze slagen kan maken vanuit een bunker.

Hetzelfde argument werd in het verleden genoemd om de Landmacht zijn Leopard 2 tanks en het MLRS raketsysteem te verkopen. Wapensystemen die nu enorm worden gemist, omdat de praktijk toch wat anders is. Kijk maar eens naar de huidige oorlog in de Oekraine. Er is eerder sprake van veldslagen die we kennen uit de Eerste en de Tweede Wereldoorlog, dan twee tegenstanders die elkaar alleen digitaal willen uitmoorden.

cold_as_ijs @Uhuruburu • 2 maart 2023 07:51

Dat de veldslagen zo gevoerd worden komt voor een groot deel op het conto van de russen die niet in staat zijn geweest om hun leger te moderniseren en een moderne militaire doctrine door te voeren. De tussen hebben een slecht getraind middenkader, zijn gewoon niet in staat geweest om land en luchtmacht te integreren. Ondanks de overmacht in aantal hebben ze bijvoorbeeld geen luchtoverwicht kunnen krijgen. Door het slecht getrainde middenkader gecombineerd met zeer hiërarchische structuur resulteert dus in grote eenheden die niet zelfsturend zijn.

pepsiblik @cold_as_ijs • 2 maart 2023 09:06

Een computer kan geen grondgebied bezetten. Dat kan alleen een tot de tanden toe bewapende soldaat.

Anoniem: 1578568 @Yzord • 1 maart 2023 21:40

Of het is een false flag. Je kan bij dit soort dingen nergens vanuit gaan, behalve dat je niemand kan vertrouwen. Hoe ver je daar in gaat is een ouderwetse cost/benefit/risk analyse

mrmrmr @Anoniem: 1578568 • 2 maart 2023 04:51

Russische uitsluitingen zijn 'industry standard'. Er zijn indicatoren voor diverse windrichtingen. Misschien een poging om mist te creëren. Ook opvallend is dat dit wordt verkocht op de markt voor een klein bedrag en dat er aan is gewerkt heel kort nadat er een PoC werd gepubliceerd.

jpfx @Yzord • 1 maart 2023 21:45

Uit jou gevolgtrekking net zo goed Oekraïne, staat immers net zo goed in de geofence. Je opmerking is dus nergens op gebaseerd.

Argantonis @Yzord • 2 maart 2023 08:06

Of in ieder geval zijn er mensen die willen dat je die conclusie trekt.

xorpd @Yzord • 2 maart 2023 12:38

De NSA heeft tools waarmee je je malware een Russisch smaakje kan geven (Russische functienamen, Russisch commentaar, Russisch toetsenbord, geofence etc.). Dit zegt dus helemaal niets.

MornixRS @Yzord • 2 maart 2023 15:34

Desondanks zijn de 200k-400K slachtoffers op het slachtveld gevallen dus ik vind het nogal een overtrokken uitspraak. De atoombom onder deze tools is ook zoiets. Als je je verdiept in de cyberaanslagen die er zijn geweest en hoe die tot stand zijn gekomen, dan zul je begrijpen dat een cyber atoombom ongeveer even realistisch is als het gebruik van een echte.

Sando 2 maart 2023 00:22

Als de binary's succesvol geladen worden, installeert de bootkit een kerneldriver die een verbinding opzet met een command-and-control-server. De bootkit kan ook andere beveiligingsonderdelen van Windows uitschakelen, waaronder Bitlocker, Windows Defender en HVCI.

Dus via UEFI kan je gewoon drivers laden, verbinding met internet maken, en de kernel van het besturingssysteem manipuleren? Is er ook een filmpje op Youtube of een artikel die op een niet al te ingewikkeld niveau uitlegt hoe krachtig die UEFI eigenlijk is? Kan ik bijvoorbeeld Doom op mijn UEFI spelen?

TonnyTonny @Sando • 2 maart 2023 00:31

Doom op UEFI is al gedaan.
Ik heb geen links bij de hand maar er zwerft een speelbare demo op het internet rond.
UEFI is in principe gewoon een heel klein mini-OS waarop je additioneel software en drivers kunt laden.
De software is normaal gesproken de bootloader en hardware diagnostics tools, maar niemand houdt je tegen om een game-loader te schrijven. Alleen de loader nodig. De rest van de software kan op de EFI partitie/filesystem worden geinstalleerd en geladen wanneer nodig..

Enige restrictie is het ge-signed krijgen van je eigen software zodat hij ook gerund kan worden als secure-boot aktief is. En daar kun je omheen werken met de grub2 stub-loader die Linux gebruikt.
Of deze CVE uitbuiten natuurlijk.

[Reactie gewijzigd door TonnyTonny op 22 juli 2024 22:03]

Sando @TonnyTonny • 2 maart 2023 00:39

Haha, bizar. Er is een hoop veranderd sinds de Master Boot Record met 512 bytes.

latka @Sando • 2 maart 2023 00:43

Veranderd wel, verbeterd? Ik zie uefi in ieder geval als een groot security probleem.

Cerberus_tm

@latka • 2 maart 2023 00:51

Ik vraag me af waarom schrijven naar UEFI niet beveiligd is met een fysiek schuifje.

latka @Cerberus_tm • 2 maart 2023 01:01

Ik vraag me af welk probleem het oplost. Booten van schijven van meer dan 2tb is het enigste antwoord. Maar dat was eerst 80mb, toen 500mb en dat kon allemaal zonder een drol als uefi. De enigste die er voordeel van lijkt te hebben is ms met bootsleutels in de bios en de mogelijkheid anderen uit te sluiten van het x86 platform

damouze @latka • 2 maart 2023 07:04

UEFI is vooral bedoeld om vendor lock-in te bewerkstelligen.

Koop je een laptop of PC van fabrikant X en X wil niet dat je je favoriete Linux distributie draait? Geen probleem, dan weigert secureboot dit gewoon. UEFI is de oplossing voor een probleem dat vooral grote fabrikanten en softwareleveranciers raakt: vrije keuze.

Dat wil niet zeggen dat UEFI niet gebruikt kan worden waarvoor het volgens het officiële verhaal voor bedoeld is: een beveiligde omgeving creëren waarin kwaadwillenden zo min mogelijk schade kunnen aanrichten. De enige die daar echt van profiteert is het bedrijfsleven (en daar is het ook valide om in te zetten). Het addertje onder het gras is echter de keerzijde van dit verhaal: een veilig en dichtgetimmerde PC of laptop betekent ook een beveiliging tegen het laden van een OS dat niet in het keurslijf past: de rootkeys voor de UEFI firmware worden uitgegeven door een enkele instantie. En alhoewel deze instantie zich tot dusver netjes gedraagt als het gaat om mensen een vrije keuze bieden voor wat ze op hun PC of laptop willen draaien is zij er niet per sé bij gebaat dat dit standhoudt. Het enige wat ze hoeft te doen is de rootkey intrekken en vervangen door een nieuwe, waardoor de chain-of-trust verandert of zelfs verloren gaat.

Daar zit hem dan ook de grootste kwetsbaarheid: we moeten de uitgever van de rootkey vertrouwen op haar integriteit. Tot dusver lijkt dat terecht, maar dat is natuurlijk geen garantie voor de toekomst.

[Reactie gewijzigd door damouze op 22 juli 2024 22:03]

bzzzt @damouze • 2 maart 2023 09:47

Je gooit nu UEFI en Secure Boot behoorlijk op 1 hoop. Je kan ook UEFI gebruiken zonder.
Het is mogelijk je eigen sleutel infrastructuur op te tuigen en daarmee je eigen OS te booten. Alleen is dit voor veel gebruikers te complex en het maakt booten van Windows op dezelfde hardware onmogelijk, wat de meeste mensen liever ook niet hebben.

EraYaN @latka • 3 maart 2023 10:33

Nouja je oude BIOS boot hield helemaal niets tegen, dus dat was altijd nog slechter. Die draaide echt iedere code van wie dan ook.

latka @EraYaN • 3 maart 2023 11:12

Alles wat in de eerste 512 bytes van je mbr zaten. Lekker overzichtelijk en goed te controleren. Met uefi is het zelf mogelijk een rootkit in de bios te zetten als signed driver die windows dan automatisch installeert bij het starten. En er zijn al genoeg keyleaks geweest. Security is veel meer dan een paar sleutels: het gaat om de attack surface zo klein mogelijk te houden. Uefi is een schoolvoorbeeld van iets wat inherent niet secure te krijgen is

EraYaN @latka • 3 maart 2023 11:15

Die 512 bytes kunnen wel gewoon een heel OS booten hoor en daar alles mee doen, dat werkt verder prima en bootkits werken dus ook zonder problemen.

En UEFI met managed keys is toch echt een stuk strakker af te stellen vooral als je het combineert met security processors en dergelijke. Om maar gewoon alle security features weg te gooien omdat je anders te veel attack surface hebt is niet echt de manier om een secure device te krijgen.

latka @EraYaN • 4 maart 2023 18:32

Er zitten vast voordelen aan in niche gevallen maar om TPM nu een security device te noemen? Of de attack surface onder het tapijt te schuiven lijken me geen sterk verhaal. Uefi is een uit de hand gelopen intel standaard voor itanium die ze maar in de pc wereld geschoven hebben. Intel heeft in het verleden wel vaker laten zien dat security niet hun ding is.
Google leunt qua security ook niet op Uefi, maar op openboot (voor eigen hardware dus).

nehal3m 1 maart 2023 21:40

Voor de Linux-users onder ons:

$ fwupdmgr refresh --force
$ fwupdmgr get-updates
$ fwupdmgr update

Hendrik55 @nehal3m • 2 maart 2023 08:41

Leg eens uit wat dit is/doet?
Ben af en toe Linux user, en wil dat graag weten.

Kenhas @Hendrik55 • 2 maart 2023 08:52

ik ben geen linux gebruiker maar ik denk het toch gewoon te begrijpen
FirmWareUPDManaGeR update laten ophalen en update.

Ik kan verkeerd zijn natuurlijk maar dat kan ik er uit afleiden

Yoshi @Hendrik55 • 2 maart 2023 08:55

https://en.wikipedia.org/...tainer%20Richard%20Hughes.

nehal3m @Hendrik55 • 2 maart 2023 09:14

Dit is een utility om firmware mee te updaten.

Hier is de manpage.

teesee64 2 maart 2023 11:00

Grappig dat 'cyber deskundige' Rian van Rijbroek hiervoor vorig jaar al waarschuwde en niet serieus genomen werd. Logisch natuurlijk maar toch..

Hatsjoe @teesee64 • 2 maart 2023 12:03

Een kapotte klok heeft het ook 2 keer per dag juist...

Kraam genoeg onzin uit en op termijn zal er statistisch gezien wel iets moeten kloppen.

Edgarz @teesee64 • 2 maart 2023 20:23

Is dat wel zo? Waar waarschuwde zij dan voor?

kodak

Beveiliging en antivirus

2 maart 2023 10:31

Dat dit soort malware zou ontstaan was al duidelijk, daarom bestaat die revocationlijst juist. En hoewel er prima redenen zijn zelfs na een jaar tijd er nog geen update van de revocationlijst is, dit klinkt zo niet als een betrouwbaar systeem. Het is vergelijkbaar met weten dat je op certificaten voor websites of de werking van je virusscanner moet kunnen vertrouwen, maar de leveranciers je vervolgens een jaar achter laten lopen met 'actuele' gegevens zonder verantwoording af te leggen.

bousix 2 maart 2023 14:38

Uitsluiten van enkele taalgebieden: waarom zou een uitbater van dergelijke software zijn/haar morele grens leggen bij een taalgbied? Interssant.

Edgarz @bousix • 2 maart 2023 20:26

Marktgebied kennen.
Zekerheid voor potentiële afnemers dat ze niet in de problemen komen met de lokale overheden aldaar.

robertlinke @bousix • 3 maart 2023 10:12

omdat als je de Russische systemen aanvalt als rus je deur die avond nog word opengebroken, en je een tijd in Siberië kan verblijven, als je al zover komt..

Op dit item kan niet meer gereageerd worden.

ESET ontdekt BlackLotus-bootkit die Secure Boot kan omzeilen

Lees meer

Reacties (44)

Sorteer op:

Weergave: