Microsoft предприняла решительный шаг в борьбе с опасным UEFI-буткитом BlackLotus, выпустив специализированный PowerShell-скрипт для обновления загрузочных носителей Windows. Новый инструмент призван обеспечить поддержку сертификата Windows UEFI CA 2023, существенно повышая защиту систем от вредоносного ПО.
История угрозы BlackLotus
BlackLotus впервые появился на радарах специалистов по информационной безопасности в октябре 2022 года как первый в истории UEFI-буткит, способный обходить механизм Secure Boot на актуальных системах. Изначально распространяясь в даркнете по цене 5000 долларов, вредоносное ПО обладает впечатляющим арсеналом возможностей, включая защиту от удаления на уровне Ring0/Ядра и способность функционировать даже в безопасном режиме Windows.
Технические особенности вредоносного ПО
Особую опасность BlackLotus представляет благодаря продвинутым механизмам маскировки, включающим антивиртуализацию, антиотладку и обфускацию кода. Буткит способен запускаться с правами SYSTEM в легитимных процессах, что затрудняет его обнаружение защитным ПО. Более того, малварь может деактивировать ключевые защитные механизмы Windows, включая HVCI и Windows Defender.
Комплексный подход Microsoft к решению проблемы
В течение 2023-2024 годов Microsoft выпустила серию патчей для устранения уязвимости CVE-2023-24932, позволяющей обходить Secure Boot. Новый PowerShell-скрипт является логическим продолжением этой работы, позволяя администраторам безопасно обновлять загрузочные носители для использования усиленной защиты.
Функциональность нового инструмента
Выпущенный скрипт способен обновлять различные типы загрузочных носителей, включая:
— ISO-образы для CD и DVD
— USB-накопители
— Локальные и сетевые диски
После обработки носители получают поддержку нового сертификата Windows UEFI CA 2023, что существенно повышает уровень защиты системы.
Важно отметить, что процесс обновления также включает модификацию базы данных Secure Boot Forbidden Signature Database (DBX), что делает невозможным использование устаревших, потенциально уязвимых загрузчиков. Администраторам рекомендуется внимательно следовать инструкциям Microsoft при внедрении этих изменений, чтобы избежать проблем с загрузкой систем.
