Агентство национальной безопасности США (АНБ) опубликовало руководствопо обнаружению и предотвращению заражения UEFI-буткитом BlackLotus. В связи с этим агентство рекомендует владельцам инфраструктуры принять меры по усилению политик исполнения пользовательских программ и контролировать целостность загрузочного раздела.
Скрытый буткит BlackLotus стал первым широко известным вредоносным ПО , способным обходить защиту Secure Boot в UEFI, что делает его серьезной угрозой в киберпространстве. BlackLotus может работать даже на полностью обновленных системах Windows 11 с включенной безопасной загрузкой UEFI.
UEFI-буткиты, подобные BlackLotus, дают злоумышленнику полный контроль над процедурой загрузки операционной системы, что позволяет вмешиваться в механизмы безопасности и развертывать дополнительные полезные нагрузки с повышенными привилегиями.
Стоит отметить, что BlackLotus не является угрозой для прошивки, а сконцентрирован на самой ранней стадии ПО процесса загрузки для достижения постоянства и уклонения.
BlackLotus использует уязвимость CVE-2022-21894 (Baton Drop), чтобы обойти защиту UEFI Secure Boot и настроить своё постоянство в компьютере жертвы . Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.
Кроме применения исправлений второй уязвимости обхода Secure Boot ( CVE-2023-24932 ), эксплуатируемой BlackLotus, организациям рекомендуется выполнить следующие шаги по смягчению последствий:
- Примените последние обновления безопасности, обновите средства восстановления;
- Настройте ПО защиты для проверки изменений в загрузочном разделе EFI;
- Используйте продукты для обеспечения безопасности конечных точек и инструменты мониторинга встроенного ПО для мониторинга измерений целостности устройства и конфигурации загрузки;
- Настройте безопасную загрузку UEFI, чтобы заблокировать старые (до января 2022 г.) подписанные загрузчики Windows.
В апреле корпорация Microsoft выпустила руководство , которое поможет организациям проверить заражение корпоративных компьютеров BlackLotus через уязвимость CVE-2022-21894. Организации и частные лица также могут воспользоваться рекомендациями Microsoft для восстановления после атаки и предотвращения установления постоянства хакеров и уклонения от обнаружения.