BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11 – 1.3.2023

Скрит буткит за Unified Extensible Firmware Interface (UEFI), наречен BlackLotus, се превърна в първия публично известен злонамерен софтуер, способен да заобиколи защитите на Secure Boot, което го прави мощна заплаха в киберпространството.

UEFI bootkits се внедряват във фърмуера на системата и позволяват пълен контрол върху процеса на зареждане на операционната система (ОС), като по този начин правят възможно деактивирането на механизмите за сигурност на ниво ОС и внедряването на произволни payloads по време на стартиране с високи привилегии.

Предлаган за продажба от $5000 (и $200 за нова следваща версия), мощният и устойчив инструментариум е програмиран на Assembly и C с размер от 80 килобайта. Той също така разполага с възможности за геозониране, за да се избегне заразяването на компютри в Армения, Беларус, Казахстан, Молдова, Румъния, Русия и Украйна.

Подробности за BlackLotus се появяват за първи път през октомври 2022 г., като изследователят по сигурността на Kaspersky Сергей Ложкин го описа като сложно решение за криминален софтуер.

BlackLotus, накратко, използва пропуск в сигурността, проследен като CVE-2022-21894 (известен още като Baton Drop), за да заобиколи защитата на UEFI Secure Boot

Успешното използване на уязвимостта, според ESET, позволява произволно изпълнение на код по време на ранните фази на зареждане, което позволява на заплаха да извърши злонамерени действия върху система с активиран UEFI Secure Boot, без да има физически достъп до нея.

Повече подробности можете да намерите на следните линкове:

https://thehackernews.com/2023/03/blacklotus-becomes-first-uefi-bootkit.html

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/

1.3.2023 г.