Microsoft publiceert handleiding voor Windows Secure Boot, Defender, VBS, BitLocker waarbij BlackLotus wordt omzeild

Vorige maand bracht WeLiveSecurity, de beveiligingsonderzoeksafdeling van ESET anti-malware-oplossingen, zijn rapport uit over de BlackLotus-beveiligingskwetsbaarheid .

Als u het niet weet, is BlackLotus een UEFI-bootkit en wat deze malware bijzonder gevaarlijk maakt, is de mogelijkheid om Secure Boot-systemen te omzeilen, zelfs op bijgewerkte Windows 11-systemen. Daarnaast brengt BlackLotus ook wijzigingen aan in het register om Hypervisor-protected Code Integrity (HVCI), een Virtualization-based Security (VBS) functie, uit te schakelen; evenals BitLocker-codering. Het schakelt ook Windows Defender uit door het Early Launch Anti-Malware (ELAM)-stuurprogramma en het Windows Defender-bestandssysteemfilterstuurprogramma te manipuleren. Het uiteindelijke doel is om een ​​HTTP-downloader in te zetten die de kwaadaardige payloads aflevert.

Hoewel het beveiligingslek met de naam “Baton Drop” (CVE-2022-21894) een jaar geleden is gepatcht, wordt het nog steeds misbruikt omdat ondertekende binaire bestanden nog niet zijn toegevoegd aan de UEFI-intrekkingslijst. In een onlangs gepubliceerde richtlijn heeft Microsoft een samenvatting gegeven van de kwaadaardige activiteiten die BlackLotus doet nadat het erin is geslaagd om te infecteren:

De malware gebruikt CVE-2022-21894 (ook bekend als Baton Drop) om Windows Secure Boot te omzeilen en vervolgens schadelijke bestanden in te zetten op de EFI-systeempartitie (ESP) die worden gestart door de UEFI-firmware. Hierdoor kan de bootkit:

1. Bereik persistentie door de Machine Owner Key (MOK) van de bedreigingsactor in te schrijven
2. Schakel HVCI uit om de implementatie van een kwaadaardig kernelstuurprogramma mogelijk te maken
3. Maak gebruik van de kerneldriver om de HTTP-downloader in gebruikersmodus te implementeren voor commando en controle (C2)
4. Schakel Bitlocker uit om sabotagebeveiligingsstrategieën op Windows te vermijden
5. Schakel Microsoft Defender Antivirus uit om verdere detectie te voorkomen

In zijn begeleiding heeft de technologiegigant in detail de technieken behandeld om te bepalen of de apparaten in een organisatie zijn geïnfecteerd, evenals herstel- en preventiestrategieën. Je kunt het lezen op de officiële website van Microsoft .