BlackLotus, la faille « magique » impossible à patcher qui attaque l'UEFI et Windows
Depuis octobre 2022, un malware circule chez les malandrins qui veulent hacker votre PC. Et BlackLotus — son petit nom — a une particularité : il repose sur une faille qui ne peut pas être raisonnablement corrigée, et c'est un réel problème.
Un problème d'UEFI
BlackLotus est ce qu'on appelle un bootkit, c'est-à-dire un logiciel malveillant qui va s'exécuter au lancement de l'ordinateur, avant le démarrage de l'OS. Il s'attaque d'abord à l'UEFI, le logiciel qui permet le démarrage dans certains ordinateurs. L'UEFI gère les fonctions de base de tous les PC modernes, ainsi que des Mac Intel mais pas — par exemple — celui des Mac Apple Silicon (qui reposent sur iBoot).
Contrairement à d'autres, BlackLotus ne s'insère pas directement dans l'UEFI sur la carte mère, mais sur le périphérique de démarrage, dans la partition EFI. Cette dernière contient notamment le code (bootloader) qui va permettre de lancer l'OS. C'est cette particularité qui le rend dangereux : la faille qu'il emploie pour s'installer ne peut pas réellement être corrigée.
BlackLotus passe par une faille connue, la CVE-2022-21894, et elle a été corrigée par Microsoft en janvier 2022. Mais elle est pourtant encore parfaitement utilisable en 2023. Ce n'est pas une erreur de notre part, et le souci vient de son fonctionnement : elle implique des composants liés à l'UEFI qui ne peuvent pas être interdits. Pour tenter de faire simple, les morceaux de code vulnérables sont connus et devraient en théorie se trouver dans une liste noire, pour interdire leur exécution. Le problème, c'est qu'ils sont utilisés par des millions de PC dans le monde et le blocage n'est donc pas réellement une option et ne risque pas de l'être avant un long moment. En pratique, les PC modernes sous Windows 11 sont vulnérables et il n'y a pas de solutions pour éviter ça.
Comment se débarrasser de BlackLotus ?
BlackLotus peut être vu comme particulièrement teigneux : une fois en place, il va se lancer avant le démarrage de l'OS, s'arranger pour être vu comme un logiciel parfaitement acceptable en ajoutant ses propres clés dans le gestionnaire de Secure Boot (le mécanisme de démarrage sécurisé de Microsoft) et désactiver diverses fonctions de Windows, telles que Windows Defender (l'antivirus maison), BitLocker (qui prend en charge le chiffrement) ou différents mécanismes liés à la virtualisation. Avec ses 80 ko (ce qui est plutôt compact), il va aussi tenter d'être indétectable — ce qui n'est pas totalement le cas de façon évidente — et mettre tout en œuvre pour ne pas être désactivé.
Dans la pratique, la solution présentée par Eset — en dehors du fait de ne pas se faire infecter — consiste à réinstaller totalement l'OS et à désactiver les clés ajoutées par BlackLotus… ce qui n'empêche pas réellement une nouvelle infection et nécessite de bonnes connaissances. Si vous êtes intéressés par le fonctionnement en détail du bootkit, l'article d'Eset est très complet mais un peu indigeste si vous ne maîtrisez pas bien les arcanes de Windows.
Et les Mac ?
BlackLotus ne cible pas macOS et ne peut évidemment pas infecter les Mac Apple Silicon, qui ne reposent pas sur l'UEFI. Pour les Mac Intel, ceux qui exécutent Boot Camp sont vulnérables étant donné que la faille repose sur l'UEFI et le démarrage de Windows. Et comme sur les PC, il n'y a pas de solution magique.
Notons enfin que les créateurs de BlackLotus vendent le logiciel pour 5 000 $ et que les mises à jour sont facturées 200 $. Et si vous vous demandez ce que ce bootkit peut faire, la réponse est assez vague : ça dépend. BlackLotus peut télécharger des données en fonction des besoins, donc peut installer d'autres logiciels malveillants.
@r e m y
En effet, Apple, en donnant le look à la ipad sans pour autant donner le tactile aux Mac, peut tendre vers la conclusion que iPadOS supplantera MacOS.
Je pensais surtout comme quoi MacOS est le rêve. Mais pour reprendre les termes utilisés, MacOS n’est pas le rêve. Il n’est pas mieux que les autres OS. Il n’est pas la cible tout simplement.
Merci Pierre : encore un article intéressant qui nous ouvre un peu la tête au-delà du monde Apple.
@hptroll
Il faudrait plutôt remercier Vincent Hermann de PC Impact.
@hirtrey
À ce petit, jeu, il faudrait remercier l’ESET !
Bref, merci à Pierre d’avoir écrit sur le sujet, quelles que soient ses sources.
@hptroll
Les sources proviennent toujours des sites US, l’eset n’est pas un site informatique généraliste contrairement à macG ou pcInpact.
Oui c’est toujours bien de référencer ces sources, mais je ne suis pas sûr que MacG aurait vu l’article si il n’y avait pas eu son confrère.
eset : 1 mars
PcI : 2
MacG : 9
Le titre de l’article fait-il subtilement allusion au jeu Magic the Gathering et sa carte mythique « Black Lotus » ?🤔
@jopaone
Le titre de l'article est le nom du soft. Il faut demander à son éditeur s'il y a un rapport.
En tout cas s'il peut récupérer les clés de chiffrement d'un PC c'est pratique :)
Pour une fois j’ai envie d’envoyer des fleurs à Windows c’est grave docteur ? 😈
qui ne peut pas être raisonnablement corrigée…
Ça se dit ça ?
J’arrive pas à la raisonner cette faille ! Elle ne veut rien écouter ! 😈
@R-APPLE-R
« qui ne peut pas être raisonnablement corrigée…
Ça se dit ça ? »
qui ne peut raisonnablement pas être corrigée… eut été mieux 😉
@Cric
👍
« L'UEFI gère les fonctions de base de tous les PC modernes, ainsi que des Mac Intel mais pas — par exemple — celui des Mac Apple Silicon (qui reposent sur iBoot).»
Et les Mac Intel avec puce T2 non ? 😈
@R-APPLE-R
Étant donné qu’on peut Bootcamp sur ces Mac, je suppose que ça passe donc par l’UEFI ? Dans ce cas, les Mac avec puce T2 sont aussi concernés. A moins que je me trompe.
@R-APPLE-R,
« L'UEFI gère les fonctions de base de tous les PC modernes, ainsi que des Mac Intel mais pas — par exemple — celui des Mac Apple Silicon (qui reposent sur iBoot). Et les Mac Intel avec puce T2 non ? 😈 »
Comme les bootkits ne sont pas ma tasse de thé, j'ai posé la question à Bing Prométhée et pas ChatGPT car l'information est post 2021 !
Donc moi :
Bonjour, est-ce que le Mac Intel avec puce T2 est concerné, BlackLotus faille CVE-2022-21894 ?
Bing Prométhée :
Bonjour, c’est Bing. D’après mes recherches, BlackLotus est un bootkit qui peut contourner le Secure Boot de Windows 11 et établir une persistance sur le système (1). Il exploite une faille connue sous le nom de CVE-2022-21894 ou Baton Drop (2) (3), qui affecte les composants liés à l’UEFI. Cette faille a été corrigée par Microsoft en janvier 2022 (2) (3), mais elle est encore utilisable en 2023 car elle implique des éléments qui ne peuvent pas être interdits (2).
Le Mac Intel avec puce T2 n’est pas concerné par cette faille car il utilise un firmware différent de l’UEFI et il n’exécute pas Windows 11 nativement. Le T2 assure la sécurité du démarrage du Mac et empêche l’exécution de code non autorisé.
Comme Bing Prométhée donne les sources, je vous invite à creuser le sujet ici ;
(1) https://www.csoonline.com/article/3689160/blacklotus-bootkit-can-bypass-windows-11-secure-boot-eset.html
(2) https://www.macg.co/ailleurs/2023/03/blacklotus-la-faille-magique-impossible-patcher-qui-attaque-luefi-et-windows-135329
(3) https://www.it-connect.fr/le-bootkit-blacklotus-contourne-le-secure-boot-sur-un-windows-a-jour/?utm_content=cmp-true
Le lien 2 vous pouvez oublié car c'est MacG et l'actualité d'aujourd'hui !
😁
D'après Bing, le Mac Intel + T2 n'est pas concerné si utilisé avec macOS !
Et il ne se mouille pas pour Mac Intel + Bootcamp + Windows 11 !
🙃
C'est effectivement à cause de Linux que l'on a cette faille. Au début du millénaire, Microsoft voulait empêcher de démarrer un OS non notarié mais la communauté libre s'est insurgée. Depuis ils ont mis un secure boot mais mal fichu.
Par contre je ne comprends pas en quoi ce n'est pas corrigeable. Pour ceux qui l'ont attrapé c'est fichu et mais normalement la faille est comblée.
Source: https://github.com/Wack0/CVE-2022-21894
Encore un truc israélien 🙄
@IRONMAN65,
« Encore un truc israélien 🙄 »
C'est possible, ou Russe ou Ukrainien, ou Américain !!!
😁
Et sur un pc sous une distri Linux ?
@fredsoo,
« Et sur un pc sous une distri Linux ? »
Je vous conseille de faire une recherche pour apprécier le nombre de CVE concernant Linux, notamment fonctionnant sur de simples micro-ordinateurs !
Vous verrez que ce type de bootkit a été / va être adapté à Linux.
La faille à l'origine provient d'une demande la communauté de l'open source pour pouvoir avoir un dual boot Windows + Linux !
Le TPM de Microsoft + l'UEFI a été conçu pour offrir cela.
Ils ont baissé la sécurité pour permettre des trucs que maintenant certains utilisent pour des activités litigieuses !
Actuellement vous ne craignez rien dans une configuration PC + Distri Linux tant que ce bootkit ne sera pas adapté à Linux, ce qui ne devrait pas prendre beaucoup de temps.
Encore des hôpitaux et des municipalités qui vont se retrouver sans informatique sous Windows avant que ce ne soit ceux sous Linux !
😁
Et windows 10 dans tout ça ?
@jujulec,
« Et windows 10 dans tout ça ? »
Je n'en sais rien !
Mais comme Windows 11 est « supposé » être plus sûr que Windows 10, si cette faille impacte Windows 11, il y a de fortes chances que cela soit le cas sous Windows 10.
Principalement, c'est une faille au niveau de l'UEFI.
Après, que ce soit un Linux ou un Windows qui est chargé, comme le bootkit se charge et se lance avant l'OS, c'est trop tard !
Surtout qu'il se rend respectable !
C'est comme Meltdown et Spectre, cela va être difficile à solutionner pour le parc existant.
Comme le bootkit ne se loge pas dans l'UEFI mais sur le support de boot dans la partition EFI, ben faudrait mettre à jour aussi le firmware de chaque support pour empêcher cela !
Faut espérer qu'ils vont trouver une solution plus simple.
🙃
Mac OS Intel permettait de mettre un mot de passe pour l’UEFI, ce que j’ai fait sur mes Mac Intel. Est-ce une solution de protection contre ce type d’attaque?
En même temps un booster 3 manas de la couleur de ton choix pour 0 c’est puissant.
@Krocell
Ça va chercher dans les 500000$, de nos jours ! C’est dire si ça doit être puissant !
😁
@hptroll
Ouais. Il va falloir trouver un patch mox pour régler ce problème
@Krocell
Black Lotus, Channel, Fireball.
Un problème ? Quel problème ? Problème réglé !
@hptroll
Ah ouiiii je les avais oublié celles-ci. Pourtant je les ai qui traînent dans un vieux deck 🤣
@Krocell
Oh, ben si tu t’en sers plus, je suis charitable : je serai ravi de t’en débarrasser ! 😃
Et surtout, ne prends pas la peine de vérifier si tu as encore des Mox et un Black Lotus, dans ce deck : vérifier 60 cartes, c’est fastidieux. Je le ferai pour toi !!
@hptroll
Haha non je joues toujours. Et j’ai la fâcheuse tendance à de loin préférer les anciens designs, anciens dessins, anciennes règles et les anciens decks 🤣
Quoi que je suis intrigué par le prochain set Seigneur des anneaux en préparation.
@Krocell
Les anciennes règles ? Quels changements te déplaisent ?
Je ne suis pas un expert, de loin, mais les règles que je connais ne me gênent pas !
@hptroll
Disons que les règles ont été modifiées pour rendre le jeu plus facile, concernant les brûlures de mana, les règles sur les légendes, etc
@Krocell
Pas faux ! D’un autre côté, il y a un paquet de nouveaux concepts et ils en ajoutent constamment. Pour n’en prendre qu’un ou deux, les planeswalkers ou les donjons (dans l’extension Forgotten Realms). Mais c’est vrai que je regrette les brûlures de mana !
Pages