网络第5域

可用于绕过Windows Secure Boot、Defender、VBS的BlackLotus源代码泄露

字号+作者: 来源:cnBeta.COM 2023-07-14 15:30 评论(创建话题) 收藏成功收藏本文

几天前,微软通过七月补丁星期二推出了针对BlackLotusSecureBoot漏洞的第二阶段加固。Windows11和Windows10的安全操作系统动态更新都已跟进,以解决该问题'...

几天前,微软通过七月补丁星期二推出了针对BlackLotusSecureBoot漏洞的第二阶段加固。Windows11和Windows10的安全操作系统动态更新都已跟进,以解决该问题,问题最严重的第一阶段大约发生在四个月前的2023年3月。egd品论天涯网

参看源码:egd品论天涯网

https://github.com/ldpreload/BlackLotusegd品论天涯网

egd品论天涯网

BlackLotus因其能够绕过各种Windows安全措施而臭名昭著,如SecureBoot(从操作系统开始引导阶段,系统就变得不安全),以及MicrosoftDefender、基于虚拟化的安全(VBS)或HVCI(Hypervisor-ProtectedCodeIntegrity)、BitLocker和UAC(用户帐户控制),甚至在当时已打补丁的Windows系统上也是如此。egd品论天涯网

与此同时,BlackLotus的源代码也几乎在同一时间泄露。它由用户Yukari上传到GitHub,Yukari删除了恶意软件开发者最初使用的BatonDrop漏洞(CVE-2022-21894)。egd品论天涯网

安全研究公司Binarly的首席执行官兼联合创始人AlexMatrosov对漏洞的泄露表示担忧,并向Neowin提供了以下声明,解释了潜在的影响:egd品论天涯网

泄露的源代码并不完整,主要包含rootkit部分和绕过安全启动的bootkit代码。这些技巧和技术大多是多年前就已知晓的,不会造成重大影响。然而,像BlackLotus活动那样将它们与新漏洞结合起来的可能性出乎业内人士的意料,并显示了当前操作系统下的缓解措施的真正局限性。egd品论天涯网

BlackLotus的泄密事件表明,旧的rootkit和bootkit技巧与新的安全启动绕过漏洞相结合,仍然可以非常有效地蒙蔽许多现代端点安全解决方案。总的来说,它显示了微软端供应链的复杂性,其修复更多的是语法性的,并没有缓解操作系统下面的整个相关问题。而且要明确的是,BlackLotus采用的是已经公开的BatonDrop漏洞。egd品论天涯网

即使厂商修复了与BatonDrop相关的安全启动旁路漏洞,这些漏洞也会对整个行业的供应链造成长期影响。以CVE-2022-21894为例,我们可以看到,即使厂商修复了漏洞,此类漏洞也可能在一年后在野外被利用。egd品论天涯网

企业防御者和CISO需要了解,操作系统以下的威胁是显而易见的,并对其环境构成威胁。由于这种攻击矢量对攻击者有很大好处,因此只会变得越来越复杂。供应商宣称的安全功能可能与实际情况完全相反。egd品论天涯网

由于恶意软件开发人员的工作越来越出色,业内对操作系统可靠性的担忧逐渐加深。最近,安全公司CiscoTalos称赞了RedDriver开发人员的能力,指出该驱动程序的稳定性几乎无可挑剔,因为它从未出现过一次BSOD(蓝屏死机)。egd品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]