За работата на бууткита хакерите използват стара уязвимост, която обаче към днешен ден е актуална за голям брой компютри. Скритият бууткит, който носи името BlackLotus, стана първият широко известен зловреден софтуер, който може да заобикаля защитата UEFI Secure Boot, което го превръща в наистина сериозна заплаха в киберпространството.

"Този бууткит се справя дори и с напълно обновени Windows 11 системи с активирана опция за защитено и безопасно UEFI зареждане", се казва в доклада на ESET, в който се описва този много опасен вредоносен софтуер.

UEFI бууткитовете се внедряват във фърмуера на дънната платка и осигуряват пълен контрол върху процеса на зареждане на операционната система, като дават възможност за деактивиране на механизмите за сигурност на ниво операционна система и за внедряването на произволни хакерски програмни компоненти с високи привилегии още по време на стартирането на операционната система.

Изданието WeLiveSecurity напомня, че първата по-подробна информация за BlackLotus се появява през месец октомври 2022 година, когато Kaspersky Lab описва този бууткит като много сложен криминален хакерски програмен инструмент.

Казано накратко, BlackLotus използва уязвимостта CVE-2022-21894 известна и под името Baton Drop, за да се справи със UEFI Secure Boot защитата и да се настани за постоянно в компютъра на жертвата. Microsoft представи пач за отстраняването на тази уязвимост още през месец януари миналата година, но заради това, че не всички следят за актуалността на своя софтуер и избягват да инсталират незадължителните, а дори и задължителните ъпдейти, милиони компютри са все още уязвими пред BlackLotus.

Компанията ESET, известна със своите много добри решения в областта на информационната безопасност и антивирусния софтуер подчертава, че тази уязвимост дава възможност за стартирането на произволен код още на най-ранните етапи на стартиране на компютъра и позволява на хакерите да реализират на практика всякакви вредоносни действия в система дори с включена UEFI Secure Boot защита, при това без да имат физически достъп до атакувания компютър.

"Това е първото публично известно използване на тази уязвимост" – отбелязва Мартин Смолър, водещ специалист на ESET.

Засега не е известно по какъв точно начин става разпространението на бууткита BlackLotus. Знае се, че заразяването започва с компонент на инсталатора на BlackLotus, който използвайки въпросната уязвимост успява да се запише в системния EFI раздел, след което следва изключването на HVCI и BitLocker, и рестартирането на хост услугата. След първото рестартиране (или изключване и включване) на компютърната система става цялостното инсталиране на бууткита, който вече автоматично се стартира при всяко включване на компютъра, като успява да проникне в ядрото на операционната система.

"През изтеклите няколко години бяха открити редица критични уязвимости в UEFI системата. За съжаление, поради твърде голямата сложност на тази екосистема и проблемите с доставки на съответните фърмуери за нея, много от тези уязвимости остават актуални дълго време след излизането на съответните пачове" – добавя специалистът на ESET.