"BlackLotus mengambil keuntungan dari ini, membawa salinannya sendiri dari binari yang sah - tetapi rentan - ke sistem untuk mengeksploitasi kerentanan," secara efektif membuka jalan bagi serangan Bring Your Own Vulnerable Driver (BYOVD).
Selain dilengkapi untuk mematikan mekanisme keamanan seperti BitLocker, Hypervisor-protected Code Integrity (HVCI), dan Windows Defender, ini juga dirancang untuk menjatuhkan driver kernel dan pengunduh HTTP yang berkomunikasi dengan server command-and-control (C2) untuk mengambil malware mode pengguna atau mode kernel tambahan.
Modus operandi yang tepat yang digunakan untuk menyebarkan bootkit belum diketahui, tetapi dimulai dengan komponen penginstal yang bertanggung jawab untuk menulis file ke partisi sistem EFI, menonaktifkan HVCI dan BitLocker, dan kemudian me-reboot host.
Restart diikuti oleh persenjataan CVE-2022-21894 untuk mencapai ketekunan dan menginstal bootkit, setelah itu secara otomatis dijalankan pada setiap sistem mulai menyebarkan driver kernel.
Sementara driver ditugaskan untuk meluncurkan pengunduh HTTP mode pengguna dan menjalankan payload mode kernel tahap berikutnya, yang terakhir mampu menjalankan perintah yang diterima dari server C2 melalui HTTPS.
Ini termasuk mengunduh dan menjalankan driver kernel, DLL, atau executable biasa; mengambil pembaruan bootkit, dan bahkan menghapus instalan bootkit dari sistem yang terinfeksi.
"Banyak kerentanan kritis yang memengaruhi keamanan sistem UEFI telah ditemukan dalam beberapa tahun terakhir," kata Smolr. "Sayangnya, karena kompleksitas seluruh ekosistem UEFI dan masalah rantai pasokan terkait, banyak dari kerentanan ini telah membuat banyak sistem rentan bahkan lama setelah kerentanan diperbaiki - atau setidaknya setelah kami diberi tahu bahwa kerentanan tersebut telah diperbaiki."
"Hanya masalah waktu sebelum seseorang akan memanfaatkan kegagalan ini dan membuat bootkit UEFI yang mampu beroperasi pada sistem dengan UEFI Secure Boot diaktifkan."
