Microsoft зробила значний крок у протидії небезпечному UEFI-буткіту BlackLotus, представивши спеціалізований PowerShell-скрипт для оновлення завантажувальних носіїв Windows. Цей інструмент забезпечує підтримку нового сертифіката Windows UEFI CA 2023, що суттєво посилює захист операційних систем від сучасних кіберзагроз.
Анатомія кіберзагрози BlackLotus
BlackLotus з’явився наприкінці 2022 року як перший у своєму роді UEFI-буткіт, здатний обходити систему Secure Boot на сучасних комп’ютерах. Розповсюджуючись у даркнеті за 5000 доларів США, це шкідливе ПЗ демонструє широкий набір можливостей для компрометації систем безпеки ще до завантаження операційної системи.
Технічні характеристики та механізми проникнення
BlackLotus вирізняється передовими технологіями маскування, включаючи захист від віртуалізації, антиналагодження та обфускацію коду. Особливу небезпеку становить здатність буткіта запускатися з системними привілеями в легітимних процесах та деактивувати ключові захисні механізми Windows, такі як HVCI та Windows Defender. Для завантаження буткіт використовує вразливість CVE-2023-24932, яка дозволяє обходити перевірку підпису завантажувача.
Комплексне рішення від Microsoft
Протягом 2023–2024 років Microsoft впровадила серію оновлень для усунення вразливості CVE-2023-24932. Новий PowerShell-скрипт є важливим компонентом цієї стратегії, надаючи системним адміністраторам інструмент для безпечного оновлення завантажувальних носіїв без необхідності відтворювати їх повністю.
Підтримувані типи носіїв
Розроблений скрипт підтримує оновлення таких типів завантажувальних носіїв:
- Образи ISO для оптичних носіїв
- USB-накопичувачі
- Локальні та мережеві диски
Після обробки носії отримують підтримку оновленого сертифіката Windows UEFI CA 2023, що значно підвищує рівень захисту системи.
Кого стосується ця загроза
BlackLotus становить підвищену небезпеку для таких категорій організацій та користувачів:
- Корпоративна інфраструктура на базі Windows, де використовуються ноутбуки або сервери з UEFI Secure Boot
- Організації, що зберігають конфіденційні дані або мають доступ до критичної інфраструктури
- Системи, на яких ще не застосовано оновлення безпеки Microsoft від травня 2023 року та пізніших дат
- Адміністратори, які використовують старі завантажувальні USB-носії без оновленого сертифіката
Що необхідно зробити
Системним адміністраторам рекомендується вжити наступних заходів:
- Застосувати всі оновлення безпеки Microsoft, пов’язані з CVE-2023-24932, включаючи оновлення бази даних DBX (Secure Boot Forbidden Signature Database)
- Завантажити та запустити новий PowerShell-скрипт Microsoft для оновлення всіх наявних завантажувальних носіїв Windows
- Переконатися, що на всіх корпоративних пристроях увімкнено HVCI (Hypervisor-Protected Code Integrity) та Windows Defender
- Перевірити цілісність існуючих USB-накопичувачів для аварійного відновлення та перестворити їх з оновленим сертифікатом
- Слідкувати за Microsoft Security Response Center для отримання актуальних рекомендацій щодо захисту від BlackLotus
