研究者は、「Net Boot やさまざまなシステムが開発された場合でも、コンピューターのブート コースを乗っ取ることができる 発見された 」マルウェアを調達します。保護機能が有効になっており、現在の Dwelling ウィンドウのバリエーションよりも前に完全に機能しています。 UEFI ブートキットと名付けられました。 これらの洗練されたマルウェア オブジェクトは、Unified Extensible Firmware Interface の高速な UEFI を標的にしています。すべての瞬間のコンピューター。 PC のシステム ファームウェアと動作中のマシンを橋渡しするメカニズムとして、UEFI は独自のまばゆいばかりの OS です。 これは、コンピューターのマザーボードにはんだ付けされた SPI 接続のフラッシュ ストレージ チップにあり、信じたりパッチを当てたりするのに洗練されています。 CosmicStrand
、MosaicRegressorに対応するブートキットを事前に発見)、および MoonBounce は、フラッシュ ストレージ チップ内に保存されている UEFI ファームウェアに焦点を当てて動作します。 その他、BlackLotus と組み合わせて、EFI マシン パーティション
.
内に保存されたシステムをターゲットにします。
UEFI は、コンピューターの電源を入れたときに最初に追跡されるものであるという説明については、OS、セキュリティ アプリ、およびその後のさまざまなシステムすべてに影響を与えます。 これらの特性により、UEFI は、本質的に、マルウェアを配信するための最も魅力的なスペースになります。 ヒットすると、UEFI ブートキットは OS のセキュリティ メカニズムを無効にし、稼働中のマシンを再インストールした後や極度の圧力を変更した後でも、カーネル モードまたは特定の人物モードで実行されるステルス マルウェアにコンピュータが汚染されたままであることを確認します。
ESET には 診断があります:
UEFI の脆弱性の代案は数年ぶりに隠蔽され、パッチの適用または取り消しの失敗より安価な時間枠内の脆弱なバイナリは、リスク アクターによってスキップされていません。 その結果、最も重要なプラットフォーム セキュリティ機能である UEFI ネット ブートをバイパスする最初の公に知られている UEFI ブートキットが現実のものになりました。 このブログ投稿では、この UEFI ブートキットの最初の公開診断を隠しています。これは、UEFI ネット ブートが有効になっている完全に最新の Dwelling Windows 11 プログラムでも問題なく動作します。 ブートキットとその人物物質のパフォーマンスにより、私たちが扱っているブートキットは BlackLotus という名前で、ハッキング フォーラムで販売されている UEFI ブートキットであることがわかります。
2022 年 10 月以降、5,000 ドル
UEFI ネット ブートが有効になっている、完全にパッチが適用された最新の Dwelling Windows 11 プログラムで作業しても問題ありません。 それは 1 つよりも大きな 365 を悪用します日古い脆弱性 (CVE-2022-21894
) により、UEFI ネット ブートと状況アップの持続性がバイパスされます。ブートキット用。 これは、この脆弱性が実際に悪用された最初の事例です。 Microsoft の 2022 年 1 月の更新プログラムにマウントされているため、その悪用は安全であり、影響を受ける可能性があるため、有効に署名されています バイナリは、UEFI失効リスト
. BlackLotus はこれについて偏りなく正しいことを取り、公式の (それにもかかわらず脆弱な) バイナリのプライベート コピーを問題のマシンに持ち込み、脆弱性を枯渇させます。 OSのセキュリティ機構を無効にしてもいいBitLocker、HVCI、Dwelling Windows Defender に対応。 インストールするとすぐに、ブートキットの基本的な偏りのない方法は、カーネル ドライバー (さまざまな機能の中で、ブートキットがオフにならないように保護する) と、C&C との通信を担当し、追加の特定の個人モードまたはカーネル モードのペイロードの読み込みを担当する HTTP ダウンローダーを展開することです。
ここに素晴らしいものがあります.
2 フィードバック
サイドバーの写真ジョー・マキニスによるブルース・シュナイアーの.
