ESET 發(fā)現(xiàn) BlackLotus 惡意軟件：首個(gè)可在 Win11 上繞過(guò) Secure Boot 的 UEFI bootkit

IT之家 3 月 2 日消息，來(lái)自 ESET 的安全研究人員近日發(fā)現(xiàn)了一種劫持 UEFI 的惡意軟件，并將其命名為 BlackLotus。該惡意軟件被認(rèn)為是首個(gè)可以在 Win11 系統(tǒng)上繞過(guò) Secure Boot 的 UEFI bootkit 惡意軟件。

設(shè)備一旦感染該惡意軟件，就會(huì)在 Win11 系統(tǒng)中禁用 Defender、Bitlocker 和 HVCI 等防病毒軟件。該惡意軟件最早可以追溯到 2022 年 10 月，在黑客論壇上以 5000 美元的價(jià)格出售。

BlackLotus 利用存在一年多的安全漏洞（CVE-2022-21894）繞過(guò) UEFI 安全啟動(dòng)并將自身永久嵌入計(jì)算機(jī)中。

微軟已經(jīng)在 2022 年 1 月發(fā)布更新修復(fù)了該漏洞，但由于受影響的、有效簽名的安裝文件仍未添加到 UEFI 鎖定列表中，因此攻擊者依然可以利用該漏洞。

BlackLotus 能夠禁用操作系統(tǒng)安全機(jī)制，例如 BitLocker、HVCI 和 Windows Defender。安裝后，惡意軟件的主要目標(biāo)是安裝內(nèi)核驅(qū)動(dòng)程序（它會(huì)保護(hù)內(nèi)核驅(qū)動(dòng)程序不被刪除等）和 HTTP 下載程序。

IT之家附報(bào)告原文：BlackLotus UEFI bootkit: Myth confirmed

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。