BlackLotus стал первым UEFI-буткитом, обходящим Secure Boot в Windows 11

BlackLotus стал первым UEFI-буткитом, обходящим Secure Boot в Windows 11

BlackLotus стал первым UEFI-буткитом, обходящим Secure Boot в Windows 11

Исследователи предупреждают о серьёзной киберугрозе — UEFI-бутките BlackLotus. Этот вредонос стал первым в своём классе, способным обойти защитный барьер операционной системы Windows 11 — Secure Boot.

На интересные функциональные возможности BlackLotus обратили внимание эксперты антивирусной компании ESET. В своём отчёте исследователи описывают угрозу так:

«Этот буткит может работать даже на полностью пропатченных системах Windows 11 с включённым UEFI Secure Boot».

Как известно, UEFI-буткиты разворачиваются в прошивке и позволяют киберпреступникам получить полный контроль над операционной системой и её процессами загрузки. Другими словами, у таких зловредов есть возможность отключать защитные механизмы на уровне ОС, а также устанавливать дополнительные пейлоады с высокими правами.

Авторы BlackLotus предлагают его за 5000 долларов (плюс $200 за каждую новую версию). Буткит написан на Assembly и C, а его размер укладывается в 80 килобайтов. В коде BlackLotus учтены геозоны, запрещающие ему атаковать цели в Армении, Белоруссии, Казахстане, Молдове, Румынии, России и Украине.

Впервые о бутките стало известно в октябре 2022 года, когда о нём предупреждал аналитик «Лаборатории Касперского» Сергей Ложкин. Зловред эксплуатирует уязвимость под идентификатором CVE-2022-21894 для обхода защиты UEFI Secure Boot. Microsoft пропатчила эту брешь в январе 2022 года.

Эксплуатация CVE-2022-21894 позволяет атакующим выполнить произвольный код на начальном этапе загрузки устройства.

 

Подробности атак операторов BlackLotus пока неизвестны, но всё начинается с компонента установщика, записывающего файлы в системный раздел EFI, отключающего HVCI и BitLocker, а в конце — перезагружающего систему.

После рестарта начинается эксплуатация CVE-2022-21894, установка буткита и драйвера уровня ядра.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

«Эшелон» открыла онлайн-ресурс с базой уязвимостей Сканер-ВС 6/7

Разработчик средств информационной безопасности «Эшелон» запустил новый открытый ресурс — базу данных уязвимостей, которая используется в продуктах Сканер-ВС 6 и 7. На сайте собраны сведения более чем о 427 тысячах уязвимостей, база обновляется ежедневно.

Портал доступен по адресу https://vulnerabilities.etecs.ru.

Пользователи могут искать и просматривать уязвимости по идентификаторам CVE, BDU и другим стандартам.

Карточки содержат информацию о метриках CVSS и EPSS, типах дефектов по CWE, конфигурациях CPE 4.0, наличии эксплойтов и актуальных правилах детектирования. Также доступны ссылки на первоисточники и бюллетени безопасности. А настоящий момент база насчитывает более 427 тысяч записей об уязвимостях.

Сервис рассчитан на специалистов по информационной безопасности, которым важно иметь быстрый доступ к актуальной и проверенной информации об уязвимостях в используемом ПО — в том числе в российских операционных системах.

Появление открытого портала позволяет специалистам напрямую видеть, на каких данных работает Сканер-ВС, проверять актуальность информации и оценивать качество правил детектирования под разные конфигурации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru