WeLiveSecurity, исследовательское подразделение компании ESET, специализирующееся на изучении безопасности и защите от вредоносных программ, вчера опубликовало отчет об уязвимости BlackLotus. Хотя этот дефект безопасности не совсем новый, опасным этот буткит (Boot-kit) делает его способность обходить систему Secure Boot даже на полностью обновлённых системах Windows 11 (что означает, что предыдущие версии Windows также могут быть уязвимы).

На этом, конечно, дело не заканчивается: BlackLotus также вносит изменения в реестр, чтобы отключить Hypervisor-protected Code Integrity (HVCI), которая является функцией Virtualization-based Security (VBS); а также шифрование BitLocker. Он также отключает Windows Defender, манипулируя драйвером Early Launch Anti-Malware (ELAM) и драйвером фильтра файловой системы Windows Defender. Он способен работать на последних, полностью пропатченных системах Windows 11 даже с включенным UEFI Secure Boot. Конечной целью является развертывание HTTP-загрузчика, который доставляет вредоносную полезную нагрузку.

Эксплойт этого буткита представляет собой уязвимость в системе безопасности загрузчика под номером CVE-2022-21894. Сообщается, что новую уязвимость уже побороли, однако её эксплуатация всё ещё возможна, поскольку подписанные двоичные файлы ещё не были добавлены в необходимый список UEFI.