Bootkit Unified Extensible Firmware Interface (UEFI) sembunyi-sembunyi yang disebut BlackLotus telah menjadi malware pertama yang diketahui publik yang mampu melewati pertahanan Boot Aman, menjadikannya ancaman kuat di lanskap dunia maya.
"Bootkit ini dapat berjalan bahkan pada sistem Windows 11 yang sepenuhnya mutakhir dengan UEFI Secure Boot diaktifkan," kata perusahaan keamanan siber Slovakia ESET dalam sebuah laporan yang dibagikan dengan The Hacker News.
Bootkit UEFI digunakan dalam firmware sistem dan memungkinkan kontrol penuh atas proses boot sistem operasi (OS), sehingga memungkinkan untuk menonaktifkan mekanisme keamanan tingkat OS dan menyebarkan muatan sewenang-wenang selama startup dengan hak istimewa tinggi.
Ditawarkan untuk dijual seharga $5,000 (dan $200 per versi baru berikutnya), toolkit yang kuat dan persisten diprogram dalam Perakitan dan C dan berukuran 80 kilobyte. Ini juga dilengkapi kemampuan geofencing untuk menghindari menginfeksi komputer di Armenia, Belarus, Kazakhstan, Moldova, Rumania, Rusia, dan Ukraina.
Detail tentang BlackLotus pertama kali muncul pada Oktober 2022, dengan peneliti keamanan Kaspersky Sergey Lozhkin menggambarkannya sebagai solusi crimeware yang canggih.
"Ini mewakili sedikit 'lompatan' ke depan, dalam hal kemudahan penggunaan, skalabilitas, aksesibilitas, dan yang paling penting, potensi dampak yang jauh lebih besar dalam bentuk ketekunan, penghindaran, dan/atau kehancuran," catat Scott Scheferman dari Eclypsium.
BlackLotus, singkatnya, mengeksploitasi kelemahan keamanan yang dilacak sebagai CVE-2022-21894 (alias Baton Drop) untuk menyiasati perlindungan UEFI Secure Boot dan mengatur kegigihan. Kerentanan ini diatasi oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022.
Eksploitasi kerentanan yang berhasil, menurut ESET, memungkinkan eksekusi kode sewenang-wenang selama fase boot awal, memungkinkan aktor ancaman untuk melakukan tindakan berbahaya pada sistem dengan UEFI Secure Boot diaktifkan tanpa memiliki akses fisik ke sana.
UEFI Bootkit Malware. (thehackernews)
"Ini adalah penyalahgunaan kerentanan ini yang pertama diketahui publik dan liar ini," kata peneliti ESET Martin Smolr. "Eksploitasinya masih dimungkinkan karena binari yang terpengaruh dan ditandatangani secara sah masih belum ditambahkan ke daftar pencabutan UEFI."