BlackLotus Bobol Sistem Windows 11

Bootkit Unified Extensible Firmware Interface (UEFI) yang disebut BlackLotus ditemukan ESET mampu melewati fitur keamanan platform penting, BlackLotus bobol sistem Windows 11.

BlackLotus menggunakan kerentanan lama dan dapat berjalan bahkan pada sistem Windows 11 yang sepenuhnya diperbarui dengan UEFI Secure Boot diaktifkan.

Kit peretasan berbahaya yang dijual di forum web gelap seharga $5.000 telah menjadi yang pertama dari jenisnya

Bootkit pertama yang mampu melewati program keamanan siber UEFI Secure Boot pada sistem Windows 11 yang diperbarui sepenuhnya.

Baca juga: Awas Serangan Firmware UEFI BIOS Melonjak Dua Kali Lipat

UEFI Secure Boot

UEFI Secure Boot adalah fitur firmware UEFI, yang merupakan penerus firmware BIOS (Basic Input/Output System) yang ditemukan di komputer lama.

Secure Boot dirancang untuk memastikan bahwa sistem melakukan booting hanya dengan software dan firmware tepercaya. Bootkit di sisi lain adalah malware yang menginfeksi proses boot komputer.

BlackLotus telah diiklankan dan dijual di forum bawah tanah seharga $5.000 setidaknya sejak awal Oktober 2022, ungkap ESET.

“Kami sekarang dapat memberikan bukti bahwa bootkit itu nyata, dan iklan tersebut bukan hanya penipuan,” kata Martin Smolár, peneliti ESET.

Baca juga: ESET Mampu Memilah Komponen UEFI Berbahaya diantara Jutaan Sampel

BlackLotus Menggunakan Kerentanan Lama

BlackLotus memanfaatkan kerentanan yang telah ada selama lebih dari setahun (dikenal sebagai CVE-2022-21894) untuk mem-bypass UEFI Secure Boot

Lalu menetapkan persistensi untuk bootkit. Ini merupakan contoh awal dari kerentanan ini yang dieksploitasi secara publik dalam situasi dunia nyata.

Meskipun Microsoft merilis perbaikan untuk kerentanan pada Januari 2022, BlackLotus mampu mengeksploitasinya dan memungkinkan pelaku menonaktifkan langkah-langkah keamanan sistem operasi, termasuk BitLocker, HVCI, dan Windows Defender.

Bootkit masih dapat mengeksploitasi kerentanan pasca perbaikan Januari karena binari yang ditandatangani secara sah masih belum ditambahkan ke daftar pencabutan UEFI, mekanisme untuk mencabut sertifikat digital driver UEFI.

Karena kompleksitas seluruh ekosistem UEFI dan masalah rantai pasokan terkait, banyak kerentanan UEFI telah membuat sistem rentan bahkan lama setelah kerentanan diperbaiki, menurut ESET.

Baca juga: Scanner UEFI dalam ESET versi 11

Menyebarkan Payload melalui Kernel

Tujuan utama BlackLotus, setelah diinstal, adalah untuk memulai penerapan driver kernel, yang berfungsi melindungi bootkit dari segala upaya untuk menghilangkannya.

Itu juga menyebarkan pengunduh HTTP yang memungkinkan komunikasi dengan server Command and Control dan memiliki kemampuan untuk memuat muatan mode pengguna atau mode kernel lebih lanjut.

Paket penginstalan BlackLotus tertentu, seperti yang dianalisis oleh ESET, tidak melakukan penginstalan bootkit jika host yang terpengaruh menggunakan pengaturan regional yang terkait dengan Armenia, Belarusia, Kazakstan, Moldova, Rusia, atau Ukraina.

Jumlah sampel BlackLotus yang rendah yang dapat diperoleh, baik dari sumber publik maupun telemetri ESET, membuat ESET percaya bahwa belum banyak pelaku ancaman yang mulai menggunakannya.

Namun, ESET khawatir bahwa banyak hal akan berubah dengan cepat jika bootkit ini jatuh ke tangan kelompok crimeware.

Berdasarkan pada penyebaran bootkit yang mudah dan kemampuan kelompok crimeware untuk menyebarkan malware menggunakan botnet mereka.

Tim peneliti ESET merekomendasikan untuk selalu memperbarui sistem dan produk keamanannya untuk meningkatkan kemungkinan bahwa ancaman akan dihentikan tepat di awal, sebelum dapat mencapai persistensi pra-OS.

Sumber berita:

WeLiveSecurity