Теперь любой желающий может загрузить и запустить ее.
Часть исходного кода вредоносной программы Blacklotus для Windows UEFI была опубликован на GitHub . Это может представлять серьезную угрозу безопасности для пользователей Windows, поскольку вредоносную программу теперь может легко загрузить и запустить любой желающий.
BlackLotus - это загрузчик, который нацелен на Windows и может обойти механизм Secure Boot , который блокирует недоверенные загрузчики на компьютерах с прошивкой UEFI и чипом TPM. Эта функция безопасности предназначена для предотвращения загрузки руткитов во время процесса запуска и уклонения от обнаружения приложениями, работающими в Windows.
BlackLotus также может отключать защиту данных BitLocker, антивирус Microsoft Defender и защиту целостности кода гипервизора (HVCI) - также известную как функция целостности памяти, которая защищает от попыток эксплуатации ядра Windows.
BlackLotus был первым обнаруженным примером загрузчика UEFI, который мог обойти механизм Secure Boot и отключить защиту на уровне ОС. Это было достигнуто изначально за счет эксплуатации уязвимости “Baton Drop” ( Для просмотра ссылки Войдиили Зарегистрируйся ), которую Microsoft исправил в январе 2022 года.
Это привело к еще одному Для просмотра ссылки Войдиили Зарегистрируйся для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки), которое отозвало другие вредоносные менеджеры загрузки.
Однако Microsoft отключил обновление для CVE-2023-24932 по умолчанию, требуя от пользователей Windows выполнить длительную и несколько сложную ручную установку, чтобы исправить свои системы.
Как Для просмотра ссылки Войдиили Зарегистрируйся Microsoft, неправильная установка исправления безопасности могла привести к тому, что ваша система не будет запускаться или восстанавливаться из средств установки Windows, поэтому многие решили не устанавливать обновление, оставляя устройства уязвимыми для атак с обходом Secure Boot.
Из-за беспокойства и скрытности вредоносной программы BlackLotus как Microsoft и NSA Для просмотра ссылки Войдиили Зарегистрируйся по обнаружению и удалению загрузчика из Windows.
Изначально BlackLotus продавался на хакерских форумах всего за 5000 долларов, позволяя злоумышленникам любого уровня навыков получить доступ к вредоносной программе, обычно связанной с хакерскими группами, поддерживаемыми государством.
Однако злоумышленник держал исходный код в тайне, предлагая пересборки за 200 долларов клиентам, которые хотели настроить загрузчик.
Сегодня компания Binarly сообщила, что исходный код загрузчика UEFI BlackLotus был опубликован на GitHub пользователем “Yukari”.
Yukari говорит, что исходный код был изменен, в нем удалена Для просмотра ссылки Войдиили Зарегистрируйся и вместо этого используется руткит UEFI bootlicker, который основан на руткитах UEFI APT Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
“Утекший исходный код не является полным и содержит в основном часть руткита и код загрузчика для обхода Secure Boot”, - заявил сооснователь и генеральный директор Binarly Алекс Матросов.
Важно подчеркнуть, что хотя Microsoft устранил обходы Secure Boot в CVE-2022-21894 и CVE-2023-24932, обновление безопасности является необязательным, а исправления отключены по умолчанию.
Часть исходного кода вредоносной программы Blacklotus для Windows UEFI была опубликован на GitHub . Это может представлять серьезную угрозу безопасности для пользователей Windows, поскольку вредоносную программу теперь может легко загрузить и запустить любой желающий.
BlackLotus - это загрузчик, который нацелен на Windows и может обойти механизм Secure Boot , который блокирует недоверенные загрузчики на компьютерах с прошивкой UEFI и чипом TPM. Эта функция безопасности предназначена для предотвращения загрузки руткитов во время процесса запуска и уклонения от обнаружения приложениями, работающими в Windows.
BlackLotus также может отключать защиту данных BitLocker, антивирус Microsoft Defender и защиту целостности кода гипервизора (HVCI) - также известную как функция целостности памяти, которая защищает от попыток эксплуатации ядра Windows.
BlackLotus был первым обнаруженным примером загрузчика UEFI, который мог обойти механизм Secure Boot и отключить защиту на уровне ОС. Это было достигнуто изначально за счет эксплуатации уязвимости “Baton Drop” ( Для просмотра ссылки Войди
Это привело к еще одному Для просмотра ссылки Войди
Однако Microsoft отключил обновление для CVE-2023-24932 по умолчанию, требуя от пользователей Windows выполнить длительную и несколько сложную ручную установку, чтобы исправить свои системы.
Как Для просмотра ссылки Войди
Из-за беспокойства и скрытности вредоносной программы BlackLotus как Microsoft и NSA Для просмотра ссылки Войди
Изначально BlackLotus продавался на хакерских форумах всего за 5000 долларов, позволяя злоумышленникам любого уровня навыков получить доступ к вредоносной программе, обычно связанной с хакерскими группами, поддерживаемыми государством.
Однако злоумышленник держал исходный код в тайне, предлагая пересборки за 200 долларов клиентам, которые хотели настроить загрузчик.
Сегодня компания Binarly сообщила, что исходный код загрузчика UEFI BlackLotus был опубликован на GitHub пользователем “Yukari”.
Yukari говорит, что исходный код был изменен, в нем удалена Для просмотра ссылки Войди
“Утекший исходный код не является полным и содержит в основном часть руткита и код загрузчика для обхода Secure Boot”, - заявил сооснователь и генеральный директор Binarly Алекс Матросов.
Важно подчеркнуть, что хотя Microsoft устранил обходы Secure Boot в CVE-2022-21894 и CVE-2023-24932, обновление безопасности является необязательным, а исправления отключены по умолчанию.
- Источник новости
- www.securitylab.ru