| 0 |
|
Фахівці з кібербезпеки компанії Eset виявили новий буткіт, який здатний обходити важливу функцію безпеки платформи UEFI. Зокрема шкідливе програмне забезпечення може запускатися навіть в повністю оновленій системі Windows 11 з увімкненим UEFI Secure Boot. Спеціалісти дійшли висновку, що буткіт є загрозою BlackLotus, яка продається на підпільних форумах за 5 тис. дол.
Буткіт використовує вже відому уразливість (CVE-2022-21894), щоб обійти UEFI Secure Boot та залишитися в системі. Попри її виправлення в оновленні Microsoft за січень 2022 року, використання уразливості все ще можливе, оскільки деякі правильно підписані двійкові файли ще не додано до списку відкликаних UEFI. BlackLotus користується цим, доставляючи власні копії легітимних, але уразливих двійкових файлів у систему.
Загроза здатна вимикати такі системи безпеки операційної системи, як BitLocker, HVCI та Windows Defender. Після встановлення основною метою буткіта є розгортання драйвера ядра і HTTP-завантажувача, відповідального за з’єднання із командним сервером та здатного завантажувати додаткові компоненти режиму користувача або режиму ядра.
При цьому, деякі інсталятори BlackLotus, проаналізовані Eset, не продовжують встановлення буткіта, якщо певний пристрій розташований в ряді країн, серед яких Україна, Вірменія, Казахстан, Молдова та інші.
За останні кілька років виявлено багато критичних уразливостей, що впливають на безпеку систем UEFI. На жаль, через складність усієї екосистеми UEFI та пов’язаних із цим проблем ланцюга постачання багато уразливостей залишаються невиправленими навіть через тривалий час після виявлення.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
