Código-fonte do BlackLotus que ignorou o Windows Secure Boot, Microsoft Defender, VBS, vazamentos

Alguns dias atrás, por meio do Patch Tuesday de julho, a Microsoft lançou o reforço de segunda fase para a vulnerabilidade de inicialização segura BlackLotus. Atualizações dinâmicas seguras do sistema operacional para Windows 11 e Windows 10 foram lançadas para resolver o problema. A primeira fase aconteceu há cerca de quatro meses, em março de 2023.

Para quem não sabe, o BlackLotus era famoso por sua capacidade de contornar várias medidas de segurança do Windows, como Secure Boot (o que é óbvio, pois é uma falha de inicialização segura), bem como Microsoft Defender, Virtualization-based Security (VBS) ou HVCI (Hypervisor- Integridade de código protegido), BitLocker e UAC (controle de conta de usuário), mesmo em sistemas Windows corrigidos da época.

Enquanto isso, o código-fonte do BlackLotus também vazou quase ao mesmo tempo. Ele foi carregado no GitHub por um usuário Yukari que removeu a vulnerabilidade Baton Drop (CVE-2022-21894) que foi inicialmente usada pelos desenvolvedores de malware.

Alex Matrosov, CEO e cofundador da empresa de pesquisa de segurança Binarly, expressou preocupação com o vazamento e forneceu a seguinte declaração à Neowin explicando as possíveis implicações:

O código-fonte vazado não está completo e contém principalmente a parte do rootkit e o código do bootkit para contornar o Secure Boot. A maioria desses truques e técnicas já são conhecidas há anos e não apresentam impacto significativo. No entanto, o fato de ser possível combiná-los com novos exploits como fez a campanha BlackLotus foi algo inesperado para a indústria e mostra as reais limitações das mitigações atuais abaixo do sistema operacional.

O vazamento do BlackLotus mostra como os antigos truques de rootkit e bootkit, combinados com as novas vulnerabilidades de bypass do Secure Boot, ainda podem ser muito eficazes em cegar muitas soluções modernas de segurança de endpoint. Em geral, isso mostra a complexidade da cadeia de suprimentos do lado da Microsoft, onde a correção foi mais sintática e não mitigou toda a classe de problemas relacionados abaixo do sistema operacional. E para deixar claro, o BlackLotus estava adotando uma exploração BatonDrop já conhecida publicamente.

Mesmo depois que o fornecedor corrige as vulnerabilidades de desvio de inicialização segura relacionadas ao BatonDrop, as vulnerabilidades podem apresentar um impacto de longo prazo na cadeia de suprimentos em todo o setor. Usar o CVE-2022-21894 como exemplo mostra como essas vulnerabilidades podem ser exploradas após um ano, mesmo com uma correção do fornecedor disponível.

Defensores corporativos e CISOs precisam entender que as ameaças abaixo do sistema operacional são claras e representam perigos para seus ambientes. Como esse vetor de ataque tem benefícios significativos para o invasor, ele ficará cada vez mais sofisticado e complexo. As reivindicações do fornecedor sobre os recursos de segurança podem ser completamente opostas à realidade.

As preocupações certamente são justificadas, pois os desenvolvedores de malware estão melhorando em seus trabalhos. Recentemente, a empresa de segurança Cisco Talos elogiou a capacidade dos desenvolvedores do RedDriver, observando que a estabilidade do driver era quase impecável, pois nunca havia BSOD’d (tela azul da morte).