UFFIブートキット「BlackLotus」のソースコードがGitHub上にリークされる
Windows 11のセキュアブートを回避する性能を持つ危険なUFFIブートキット「BlackLotus」のソースコードが、GitHubのユーザー「Yukari」(ldpreload)によって公開された。BlackLotusはもともと、遅くとも2022年10月からハッキングフォーラム上で5,000ドルで販売されておりソースコードは非公開だった。しかし今回のリークにより広く誰もが同ツールを利用できるようになったことから、企業や政府関係者、そしてサイバーセキュリティコミュニティの間で大きな懸念が生まれている。
UFFIブートキット「BlackLotus」とは?
BlackLotusは、完全に最新状態のWindows 11システムにおけるセキュリティ機能「セキュアブート」を回避できるUEFIブートキット。セキュリティソフトの回避、感染したシステムでの持続性確保、最高権限でのペイロード実行など、強力な性能を備える。
脆弱性CVE-2022-21894、CVE-2023-24932の悪用
ESETの研究者によると、BlackLotusは脆弱性「Baton Drop」(CVE-2022-21894)を悪用することでUEFIセキュアブートをバイパスし、持続性を確保するという。CVE-2022-21894のパッチは2022年1月にリリースされているものの、このパッチを、別の脆弱性CVE-2023-24932を悪用することでバイパスする手法が見つかっているため、アップデート済みのシステムであってもBlackLotusの標的となり得る。
関連記事:
・BlackLotus:Windows 11のUEFIセキュアブートを回避する最初のブートキット
・マイクロソフト月例パッチ:攻撃で悪用されるゼロデイ2件含む脆弱性38件が修正される、うち1件はBlackLotusが悪用(CVE-2023-29336、CVE-2023-24932)
BlackLotusのソースコード、リークによる影響は?
12日にGitHubで公開されたソースコードは、オリジナル版BlackLotusのものにいくつか変更を加えたもので、前述の脆弱性Baton Drop(CVE-2022-21894)に対するエクスプロイトは取り除かれており、代わりにUEFIファームウェアルートキット「bootlicker」が使用されている。そして残りの部分は、オリジナルのコードと同様だという。
今回このようなコードが公開されたことについて、ファームウェアセキュリティ企業BinarlyのCEOであるAlex Matrosov氏は懸念を表明している。というのも、公開されたコードが新たなエクスプロイトと組み合わされ、これまでになかったような攻撃機会が生み出されてしまう恐れがあるからだ。言い換えれば、マルウェア開発者らが公開されたコードを使って、BlackLotusよりさらに有力な、そしてさまざまなセキュリティ対策を回避できるような亜種を作り出すことが考えられるということになる。
BlackLotusへの対応策については、米国家安全保障局(NSA)が詳細なガイドを提供しているほか、マイクロソフトもガイダンスを公開している。組織には、こういったガイドを参考にシステムを保護することが求められる。
(情報源:SecurityWeek ”BlackLotus UEFI Bootkit Source Code Leaked on GitHub”、BleepingComputer “Source code for BlackLotus Windows UEFI malware leaked on GitHub”、ESET ”BlackLotus UEFI bootkit: Myth confirmed”)