來自 ESET 的安全研究人員近日發(fā)現(xiàn)了一種劫持 UEFI 的惡意軟件，并將其命名為 BlackLotus。該惡意軟件被認為是首個可以在 Win11 系統(tǒng)上繞過 Secure Boot 的 UEFI bootkit 惡意軟件。

設備一旦感染該惡意軟件，就會在 Win11 系統(tǒng)中禁用 Defender、Bitlocker 和 HVCI 等防病毒軟件。該惡意軟件最早可以追溯到 2022 年 10 月，在黑客論壇上以 5000 美元的價格出售。

BlackLotus 利用存在一年多的安全漏洞（CVE-2022-21894）繞過 UEFI 安全啟動并將自身永久嵌入計算機中。

ESET說，BlackLotus安裝程序可以是在線或離線的，它們之間的區(qū)別是，離線變體攜帶有漏洞的Windows二進制文件；在線版本的安裝程序 直接從微軟商店 下載Windows二進制文件。

研究人員看到以下三個文件被bootkit所濫用。

• https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi
• https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi
• https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

Smolár解釋說，利用CVE-2022-21894，允許繞過安全啟動并安裝引導工具包。然后可以在早期啟動階段執(zhí)行任意代碼，此時UEFI啟動服務功能仍然可用。這允許攻擊者在沒有物理訪問的情況下，在啟用了UEFI安全啟動的機器上做許多他們不應該做的事情，比如修改只有Boot-services的NVRAM變量。而這正是攻擊者在下一步為bootkit設置持久性的優(yōu)勢所在。

通過向MokList、Boot-services-only NVRAM變量寫入它自己的MOK來設置持久性。通過這樣做，它可以使用合法的微軟簽名的墊片來加載其自簽名（由屬于寫入MokList的密鑰的私鑰簽名）的UEFI啟動包，而不是在每次啟動時利用漏洞。

要注意的是，CVE-2022-21894的概念驗證（PoC）利用代碼自2022年8月以來已經(jīng)公開提供了半年多的時間。雖然微軟已經(jīng)在 2022 年 1 月發(fā)布更新修復了該漏洞，但由于受影響的、有效簽名的安裝文件仍未添加到 UEFI 鎖定列表中，因此攻擊者依然可以利用該漏洞。

參考鏈接：https://www.bleepingcomputer.com/news/security/blacklotus-bootkit-bypasses-uefi-secure-boot-on-patched-windows-11/