注意!这个恶意软件可绕过Win11 UEFI安全启动
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
ESET安全研究人员发现了一种可以绕过Win11系统Secure Boot的UEFI bootkit恶意软件BlackLotus,它可以禁用Defender、Bitlocker和HVCI等防病毒软件,并利用CVE-2022-21894漏洞设置持久性。尽管微软已经发布更新修复该漏洞,但攻击者仍可利用。
🎯
关键要点
- ESET安全研究人员发现了一种名为BlackLotus的UEFI bootkit恶意软件,能够绕过Win11系统的Secure Boot。
- BlackLotus可以禁用Defender、Bitlocker和HVCI等防病毒软件,并利用CVE-2022-21894漏洞设置持久性。
- 该恶意软件最早在2022年10月以5000美元的价格在黑客论坛上出售。
- BlackLotus的安装程序有在线和离线两种变体,离线版本携带有漏洞的Windows二进制文件。
- 研究人员发现了三个被bootkit滥用的文件,分别是bootmgfw.efi、bootmgr.efi和hvloader.efi。
- 利用CVE-2022-21894,攻击者可以在早期启动阶段执行任意代码,修改NVRAM变量以设置持久性。
- 通过向MokList写入自签名的UEFI启动包,BlackLotus可以在每次启动时加载而不需要再次利用漏洞。
- 尽管微软在2022年1月发布了修复更新,但由于有效签名的安装文件未添加到UEFI锁定列表,攻击者仍可利用该漏洞。
➡️
