Скрытый буткит под названием BlackLotus стал первым широко известным вредоносным ПО, способным обходить защиту Secure Boot в UEFI, что делает его серьезной угрозой в киберпространстве.
“Этот буткит может работать даже на полностью обновленных системах Windows 11 с включенной безопасной загрузкой UEFI”, – говорится в отчётекомпании ESET.
UEFI-буткиты развёртываются в прошивке материнской платы и обеспечивают полный контроль над процессом загрузки операционной системы, что позволяет отключать механизмы безопасности на уровне ОС и развертывать произвольные полезные нагрузки с высокими привилегиями во время запуска системы.
Подробности о BlackLotus впервые появились в октябре 2022 года, когда исследователь “Лаборатории Касперского” Сергей Ложкин описал его как “сложное криминальное ПО”.
В двух словах, BlackLotus использует уязвимость CVE-2022-21894 (она же Baton Drop), чтобы обойти защиту UEFI Secure Boot и настроить своё постоянство в компьютере жертвы. Microsoft устранила эту уязвимость ещё в январе прошлого года, но из-за того, что не все следят за актуальностью своего программного обеспечения, миллионы компьютеров всё ещё уязвимы перед BlackLotus.
По данным ESET, успешная эксплуатация уязвимости позволяет выполнять произвольный код на ранних этапах загрузки компьютера, позволяя злоумышленнику реализовывать вредоносные действия в системе с включенной UEFI Secure Boot без физического доступа к ней.
“Это первое публично известное использование этой уязвимости”, – сказал Мартин Смолар, исследователь компании ESET.
Точный способ развертывания буткита пока неизвестен, но он начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключение HVCI и BitLocker, а затем перезагрузку хоста. После перезагрузки следует установка самого буткита, и далее он автоматически выполняется при каждом запуске системы для развертывания драйвера ядра.
“За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. К сожалению, из-за сложности всей экосистемы UEFI и проблем с цепочками поставок обновлений многие из этих уязвимостей остаются актуальными даже спустя долгое время после исправления”, – подытожил специалист ESET.