几天前,微软通过七月补丁星期二推出了针对BlackLotus安全启动漏洞的第二阶段加固。Windows11和Windows10的安全操作系统动态更新都已发布,以解决该问题。第一阶段大约发生在四个月前的2023年3月。
对于那些不知道的人来说,BlackLotus因其能够绕过各种Windows安全措施而臭名昭著,如安全启动(这是显而易见的,因为它是一个安全启动漏洞),以及Microsoft Defender、基于虚拟化的安全(VBS)或HVCI(Hypervisor-Protected Code Integrity)、BitLocker和UAC(用户帐户控制),甚至在当时已打补丁的Windows系统上也是如此。
与此同时,BlackLotus的源代码也几乎在同一时间泄露。它由用户Yukari上传到GitHub,Yukari删除了恶意软件开发者最初使用的Baton Drop漏洞(CVE-2022-21894)。
安全研究公司Binarly的首席执行官兼联合创始人Alex Matrosov对该漏洞的泄露表示担忧,并提供了以下声明,解释其潜在影响:
泄露的源代码并不完整,主要包含rootkit部分和绕过安全启动的bootkit代码。这些技巧和技术大多是多年前就为人所知的,不会产生重大影响。然而,像BlackLotus活动那样将它们与新漏洞结合起来的可能性出乎业内人士的意料,也显示出当前操作系统下的缓解措施存在真正的局限性。
BlackLotus的泄密事件表明,旧的rootkit和bootkit技巧与新的安全启动绕过漏洞相结合,仍然可以非常有效地蒙蔽许多现代端点安全解决方案。总的来说,它显示了微软端供应链的复杂性,其修复更多的是语法性的,并没有缓解操作系统下面的整个相关问题。要明确的是,BlackLotus采用的是已经公开的BatonDrop漏洞。
即使供应商修复了与BatonDrop相关的安全启动旁路漏洞,这些漏洞仍会对整个行业的供应链造成长期影响。以CVE-2022-21894为例,我们可以看到,即使厂商修复了漏洞,一年后此类漏洞仍会在野外被利用。
企业防御者和CISO需要了解,操作系统以下的威胁是显而易见的,并对其环境构成威胁。由于这种攻击矢量对攻击者有重大好处,因此只会变得越来越复杂。供应商声称的安全功能可能与实际情况完全相反。
由于恶意软件开发者的工作越来越出色,这种担忧当然是有道理的。最近,安全公司Cisco Talos称赞了RedDriver开发人员的能力,指出该驱动程序的稳定性几乎无可挑剔,因为它从未出现过一次BSOD(蓝屏死机)。
![[WIN] Free Download Manager v6.24.1.5847 中文版](https://www.pcsofter.com/wp-content/uploads/2021/06/2023022309512686.jpg)
