BlackLotus es un malware UEFI que se vende como kit en foros de hacking por 5.000 dólares y que destaca por ser el primero conocido con capacidad para omitir el arranque seguro de Windows. Una gran amenaza para el panorama informático teniendo en cuenta que es capaza de eludir las defensas de seguridad incluso cuando estén habilitadas en las BIOS/UEFI.
Si recuerdas, Microsoft propuso este sistema de arranque seguro de Windows hace una década cuando las placas base de nueva generación estrenaron el firmware UEFI para reemplazar a las viejas BIOS. Hubo una gran polémica en sus inicios porque este Secure Boot impedía instalar sistemas alternativos a Windows como GNU/Linux. Después, la Fundación Linux publicó un Secure Boot System oficial de Microsoft para Linux que permitía instalar cualquier distribución y, además, la mayoría de fabricantes de placas permitía su desactivación.
Más allá de ello, este sistema de seguridad que obliga a firmar el firmware y el software protegiendo el proceso de arranque de cualquier sistema, ha terminado por consolidarse e incluso en Windows 11 es un requisito obligatorio junto al TPM.
-El arranque seguro de Windows está en peligro
Investigadores de Kaspersky emitieron una alerta el pasado octubre al detectar un malware llamado ‘BlackLotus’ que se estaba vendiendo en los mercados de ciberdelincuencia. Desde entonces, los especialistas en seguridad han estado diseccionándolo pieza por pieza y desde ESET, han publicado un extenso artículo que muestra su funcionamiento y peligrosidad.
Se trata de un bootkit UEFI que se implementa en el firmware de los equipos informáticos y permite un control total sobre el proceso de inicio del sistema operativo, lo que hace posible deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas útiles arbitrarias durante el inicio con privilegios de administrador.
BlackLotus cuesta 5.000 dólares, pero para los ‘malos’ que puedan pagarlo es altamente rentable. Está programado en ensamblador y tiene un tamaño de solo 80 Kbytes. Es sigiloso, persistente, cuenta con capacidades de geofencing para evitar infectar computadoras de países perdeterminados y según los investigadores es el primer malware conocido capaz de omitir el arranque seguro de Windows.
Hay que decir que BlackLotus, como la inmensa mayoría del malware, explota una vulnerabilidad de seguridad etiquetada como CVE-2022-21894, que permite eludir las protecciones de Boot Secure en UEFI y configurar la persistencia. Microsoft abordó esta vulnerabilidad como parte de su actualización de parches mensual en enero de 2022. El problema es que los delincuentes aún pueden explotarlo porque los binarios firmados afectados no se agregaron a la lista de revocación de UEFI.
El malware se aprovecha de ello, incluyendo sus propias copias de binarios, legítimos pero vulnerados, para desactivar las herramientas de seguridad del sistema como BitLocker y Windows Defender, y omitiendo el Control de cuentas de usuario. También implementa un controlador de kernel y un descargador HTTP. El controlador del kernel protege los archivos del kit de arranque de su eliminación, mientras que el descargador se comunica con el servidor de comando y control y ejecuta cargas útiles capaces de controlar por completo y desde el arranque un sistema informático.
Muy peligroso este BlackLotus. Descrito como una solución sofisticada de software delictivo, ‘representa un salto hacia adelante en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, el potencial de un impacto mucho mayor en las formas de persistencia, evasión y/o destrucción de cualquier bootkit conocido’, explican los investigadores.