- 13,858
- 20
- 8 Ноя 2022
Для работы буткита злоумышленники используют старую уязвимость, которая, тем не менее, до сих пор актуальна на многих компьютерах.
Скрытый Для просмотра ссылки Войди
«Этот буткит может работать даже на полностью обновленных системах Windows 11 с включенной безопасной загрузкой UEFI», — говорится в Для просмотра ссылки Войди
UEFI-буткиты развёртываются в прошивке материнской платы и обеспечивают полный контроль над процессом загрузки операционной системы, что позволяет отключать механизмы безопасности на уровне ОС и развертывать произвольные полезные нагрузки с высокими привилегиями во время запуска системы.
Подробности о BlackLotus впервые появились в октябре 2022 года, когда исследователь «Лаборатории Касперского» Сергей Ложкин Для просмотра ссылки Войди
В двух словах, BlackLotus использует уязвимость Для просмотра ссылки Войди
По данным ESET, успешная эксплуатация уязвимости позволяет выполнять произвольный код на ранних этапах загрузки компьютера, позволяя злоумышленнику реализовывать вредоносные действия в системе с включенной UEFI Secure Boot без физического доступа к ней.
«Это первое публично известное использование этой уязвимости», — сказал Мартин Смолар, исследователь компании ESET.
Точный способ развертывания буткита пока неизвестен, но он начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключение HVCI и BitLocker, а затем перезагрузку хоста. После перезагрузки следует установка самого буткита, и далее он автоматически выполняется при каждом запуске системы для развертывания драйвера ядра.
«За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. К сожалению, из-за сложности всей экосистемы UEFI и проблем с цепочками поставок обновлений многие из этих уязвимостей остаются актуальными даже спустя долгое время после исправления», — подытожил специалист ESET.
- Источник новости
- www.securitylab.ru
