Beveiligingsbedrijf ESET heeft een zogeheten uefi-bootkit ontdekt waarmee het mogelijk is Secure Boot te omzeilen, zelfs op moderne Windows 11-systemen. De BlackLotus-bootkit gebruikt een kwetsbaarheid die wel is gepatcht, maar waarvan sommige binary’s nog niet zijn doorgevoerd.

ESET bevestigt in een onderzoek het bestaan van de bootkit, die BlackLotus wordt genoemd. Er gingen vorig jaar al geruchten rond dat een dergelijke malware op fora werd verkocht, maar nu zegt ESET de bootkit ook te hebben gevonden en te hebben onderzocht. BlackLotus wordt op het darkweb verkocht voor 5000 dollar.

De bootkit maakt het mogelijk om Secure Boot in de uefi van pc’s te omzeilen. Daarvoor zijn volgens ESET weinig kwetsbaarheden voor nodig; dat kan zelfs op een volledig bijgewerkte Windows 11-pc. De bootkit maakt misbruik van een kwetsbaarheid die inmiddels meer dan een jaar oud is, CVE-2022-21894, een kwetsbaarheid die ook wel Baton Drop wordt genoemd. Microsoft heeft die bug in januari van 2022 gerepareerd, maar volgens ESET kan de BlackLotus-bootkit de kwetsbaarheid nog steeds uitbuiten.

Dat kan omdat nog niet alle getroffen binary’s aan de officiële uefi-revocation-lijst zijn toegevoegd. Daardoor kan BlackLotus zijn eigen binary’s toevoegen aan de uefi, waarbij het lijkt alsof dat legitieme binary’s zijn. Die worden daarom niet tegengehouden door Secure Boot.

Volgens ESET kan de bootkit zelfs persistence krijgen. Als de binary’s succesvol geladen worden, installeert de bootkit een kerneldriver die een verbinding opzet met een command-and-control-server. De bootkit kan ook andere beveiligingsonderdelen van Windows uitschakelen, waaronder Bitlocker, Windows Defender en HVCI.

De bootkit wordt verkocht op fora, maar het is vooralsnog niet bekend hoe groot de verspreiding is en tegen welk soort doelwitten de bootkit wordt ingezet. In de installers staan enkele geofences; de bootkit wordt niet geïnstalleerd als de pc is ingesteld als Roemeens, Russisch, Oekraïens, Wit-Russisch, Armeens en Kazachstaans.