几天前,微软通过七月补丁星期二推出了针对BlackLotusSecureBoot漏洞的第二阶段加固。Windows11和Windows10的安全操作系统动态更新都已跟进,以解决该问题,问题最严重的第一阶段大约发生在四个月前的2023年3月。
参看源码:
https://github.com/ldpreload/BlackLotus
BlackLotus因其能够绕过各种Windows安全措施而臭名昭著,如SecureBoot(从操作系统开始引导阶段,系统就变得不安全),以及MicrosoftDefender、基于虚拟化的安全(VBS)或HVCI(Hypervisor-ProtectedCodeIntegrity)、BitLocker和UAC(用户帐户控制),甚至在当时已打补丁的Windows系统上也是如此。
与此同时,BlackLotus的源代码也几乎在同一时间泄露。它由用户Yukari上传到GitHub,Yukari删除了恶意软件开发者最初使用的BatonDrop漏洞(CVE-2022-21894)。
安全研究公司Binarly的首席执行官兼联合创始人AlexMatrosov对漏洞的泄露表示担忧,并向Neowin提供了以下声明,解释了潜在的影响:
泄露的源代码并不完整,主要包含rootkit部分和绕过安全启动的bootkit代码。这些技巧和技术大多是多年前就已知晓的,不会造成重大影响。然而,像BlackLotus活动那样将它们与新漏洞结合起来的可能性出乎业内人士的意料,并显示了当前操作系统下的缓解措施的真正局限性。
BlackLotus的泄密事件表明,旧的rootkit和bootkit技巧与新的安全启动绕过漏洞相结合,仍然可以非常有效地蒙蔽许多现代端点安全解决方案。总的来说,它显示了微软端供应链的复杂性,其修复更多的是语法性的,并没有缓解操作系统下面的整个相关问题。而且要明确的是,BlackLotus采用的是已经公开的BatonDrop漏洞。
即使厂商修复了与BatonDrop相关的安全启动旁路漏洞,这些漏洞也会对整个行业的供应链造成长期影响。以CVE-2022-21894为例,我们可以看到,即使厂商修复了漏洞,此类漏洞也可能在一年后在野外被利用。
企业防御者和CISO需要了解,操作系统以下的威胁是显而易见的,并对其环境构成威胁。由于这种攻击矢量对攻击者有很大好处,因此只会变得越来越复杂。供应商宣称的安全功能可能与实际情况完全相反。
由于恶意软件开发人员的工作越来越出色,业内对操作系统可靠性的担忧逐渐加深。最近,安全公司CiscoTalos称赞了RedDriver开发人员的能力,指出该驱动程序的稳定性几乎无可挑剔,因为它从未出现过一次BSOD(蓝屏死机)。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】