Публикуваха изходния код на BlackLotus
В края на предходната година незнайна страна съчетава експлойт за сериозна накърнимост в програмата за пускане на Windows с спомагателни зловредни функционалности и стартира да я продава в ъндърграунд форумите, а в този момент самата стратегия към този момент е налична с изходния си код за събаряне от GitHub.
През януари предходната година Microsoft издават актуализация за CVE-2022-21894 или по-известна като Baton Drop, накърнимост, преодоляваща отбраните на процеса Secure Boot, общоприета характерност, включена в модерните системи с UEFI и защитните TPM модули. Тази характерност има за цел да подсигурява, че не може да се зареди недоверен за Windows развой преди стартирането на системата. Но BlackLotus, каквото е името на въпросната стратегия, съумява да заобиколи дейно тези отбрани благодарение на Baton Drop. В качеството си на „ буткит “ (зловредна стратегия, задействаща се преди старта на системата), BlackLotus съумява на изцяло обновен Windows 11 да извършва указания с най-високи привилегии, да деактивира Bitlocker, Windows Defender и други стратегии за сигурност, изпълняващи се при старта на системата, да деактивира Hypervisor-protected Code Integrity (HVCI) характерността, осигуряваща спомагателна отбрана на ядрото на Windows, може да си обезпечава непрекъснато наличие и други
Но действителната отбрана против експлоатирането на Baton Drop се оказва нелека задача за Microsoft. Скоро след излизането на кръпка за нея, новата отбрана отново е преодоляна сполучливо. Проблемът тук се явява това, че решението в тази ситуация може да е проблем.
„ За да преодолее опасността от уязвим управител за пускане, Microsoft ще би трябвало да изтегли от обращение криптографския хеш. Само че това ще попречи на някои системи (самостартираща се медия, по-стари копия на системата) от зареждане по дизайн със Secure Boot и ще съставлява действен риск за милиони устройства “, споделиха по-рано тази година в разбора си на обстановката. Дори и мениджърът да бъде изтеглен от обращение и Secure Boot деактивиран, системата може изобщо да не започва, защото мениджърът извършва лични сигнатурни инспекции “.
Неуспехът на първата кръпка води до появяването на обновяване за CVE-2023-24932, само че след това актуализацията е деактивирана като автоматизирана за налагане, а от Microsoft предизвестяват, че неправилното ѝ инсталиране може да докара до неспособност за старт на Windows или възобновяване му посредством списък.
Сериозността на риска, който съставлява BlackLotus предизвика по-късно, както Microsoft, по този начин и Агенцията за национална сигурност на Съединени американски щати да издадат специфични бюлетини, описващи опасността, засичането ѝ и методите, по които тя би трябвало да бъде отстранена от към този момент компрометирани Windows системи.
Bleeping Computer цитират обява на Binarly, които са се натъкнали на неприятно изобретение. Някой е качил изходния код на BlackLotus в GitHub. Първоначално продавана за относително скромната (спрямо опциите ѝ) сума от $5000, зловредната стратегия се предлага през днешния ден гратис, въпреки и с известни промени. Премахнат е частта с експлойта за Baton Drop и е сменен с UEFI руткита, прочут като bootlicker. Макар и посредствен, кодът съставлява действителна заплаха и съгласно Binarly, за един киберпрестъпник би било банално да се сътвори от него работеща зловредна стратегия.
