Código fuente para BlackLotus que omitió Windows Secure Boot, Microsoft Defender, VBS, fugas

Hace unos días, a través de su Patch Tuesday de julio, Microsoft implementó el endurecimiento de segunda fase para la vulnerabilidad de arranque seguro BlackLotus. Se lanzaron actualizaciones dinámicas de sistema operativo seguro para Windows 11 y Windows 10 para solucionar el problema. La primera fase ocurrió hace unos cuatro meses, en marzo de 2023.

Para aquellos que no lo saben, BlackLotus fue famoso por su capacidad para eludir varias medidas de seguridad de Windows como el Arranque seguro (lo cual es obvio ya que es una falla de arranque seguro), así como Microsoft Defender, Virtualization-based Security (VBS) o HVCI (Hypervisor- Integridad de código protegido), BitLocker y UAC (control de cuentas de usuario), incluso en sistemas Windows parcheados de esa época.

Mientras tanto, el código fuente de BlackLotus también se filtró casi al mismo tiempo. Fue subido a GitHub por un usuario Yukari que eliminó la vulnerabilidad Baton Drop (CVE-2022-21894) que fue utilizada inicialmente por los desarrolladores de malware.

Alex Matrosov, director ejecutivo y cofundador de la firma de investigación de seguridad Binarly, expresó su preocupación por su filtración y proporcionó la siguiente declaración a Neowin explicando las posibles implicaciones:

El código fuente filtrado no está completo y contiene principalmente la parte del rootkit y el código del bootkit para evitar el arranque seguro. La mayoría de estos trucos y técnicas se conocen desde hace años y no presentan un impacto significativo. Sin embargo, el hecho de que sea posible combinarlos con nuevos exploits como lo hizo la campaña BlackLotus fue algo inesperado para la industria y muestra las limitaciones reales de las mitigaciones actuales debajo del sistema operativo.

La filtración de BlackLotus muestra cómo los viejos trucos de rootkit y bootkit, combinados con las nuevas vulnerabilidades de desvío de Secure Boot, aún pueden ser muy efectivos para cegar muchas soluciones modernas de seguridad de punto final. En general, muestra la complejidad de la cadena de suministro en el extremo de Microsoft, donde la solución ha sido más sintáctica y no ha mitigado toda la clase de problemas relacionados debajo del sistema operativo. Y para ser claros, BlackLotus estaba adoptando un exploit de BatonDrop ya conocido públicamente.

Incluso después de que el proveedor solucione las vulnerabilidades de omisión de arranque seguro relacionadas con BatonDrop, las vulnerabilidades pueden presentar un impacto a largo plazo en la cadena de suministro de toda la industria. El uso de CVE-2022-21894 como ejemplo muestra cómo se pueden explotar tales vulnerabilidades en la naturaleza después de un año, incluso con una solución de proveedor disponible.

Los defensores de la empresa y los CISO deben comprender que las amenazas debajo del sistema operativo son claras y presentan peligros para sus entornos. Dado que este vector de ataque tiene beneficios significativos para el atacante, solo se volverá más sofisticado y complejo. Las afirmaciones de los proveedores sobre las características de seguridad pueden ser completamente opuestas a la realidad.

Las preocupaciones ciertamente están justificadas ya que los desarrolladores de malware están mejorando en su trabajo. Recientemente, la empresa de seguridad Cisco Talos elogió la capacidad de los desarrolladores de RedDriver y señaló que la estabilidad del controlador era casi impecable, ya que nunca tuvo BSOD (pantalla azul de la muerte).