这个恶意软件可绕过Win11 UEFI安全开启

来自 ESET 的安全研究人员近日发现了一种劫持 UEFI 的恶意软件，并将其命名为 BlackLotus。该恶意软件被认为是首个可以在 Win11 系统上绕过 Secure Boot 的 UEFI bootkit 恶意软件。

ESET说，BlackLotus安装程序可以是在线或离线的，它们之间的区别是，离线变体携带有漏洞的Windows二进制文件；在线版本的安装程序 直接从微软商店 下载Windows二进制文件。

研究人员看到以下三个文件被bootkit所滥用。

https://msdl.microsoft.com/download/symbols/bootmgfw.efi/7144BCD31C0000/bootmgfw.efi

https://msdl.microsoft.com/download/symbols/bootmgr.efi/98B063A61BC000/bootmgr.efi

https://msdl.microsoft.com/download/symbols/hvloader.efi/559F396411D000/hvloader.Efi

通过向MokList、Boot-services-only NVRAM变量写入它自己的MOK来设置持久性。通过这样做，它可以使用合法的微软签名的垫片来加载其自签名（由属于写入MokList的密钥的私钥签名）的UEFI启动包，而不是在每次启动时利用漏洞。

要注意的是，CVE-2022-21894的概念验证（PoC）利用代码自2022年8月以来已经公开提供了半年多的时间。虽然微软已经在 2022 年 1 月发布更新修复了该漏洞，但由于受影响的、有效签名的安装文件仍未添加到 UEFI 锁定列表中，因此攻击者依然可以利用该漏洞。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!