Beranda Apps BlackLotus melewati Boot Aman, Microsoft Defender, VBS, BitLocker di Windows 11 yang diperbarui
Apps  

BlackLotus melewati Boot Aman, Microsoft Defender, VBS, BitLocker di Windows 11 yang diperbarui

aficma

WeLiveSecurity, sayap penelitian keamanan anti-malware ESET, merilis laporannya tentang kerentanan keamanan BlackLotus kemarin. Meskipun kelemahan keamanan ini tidak sepenuhnya baru, karena telah beredar di internet sejak pertengahan tahun lalu, yang membuat bootkit ini berbahaya adalah kemampuannya untuk mem-bypass sistem boot yang aman bahkan pada sistem Windows 11 yang telah diperbarui sepenuhnya (artinya Windows mungkin juga rentan. ).

Dan tidak berhenti sampai di situ saja, BlackLotus juga melakukan modifikasi pada registry untuk menonaktifkan Hypervisor Protected Code Integrity (HVCI), yang merupakan fitur Virtualization Based Security (VBS), serta enkripsi BitLocker. Ini juga menonaktifkan Windows Defender dengan memanipulasi driver Early Launch Anti-Malware (ELAM) dan driver filter sistem file Windows Defender. Tujuan utamanya adalah untuk menggunakan pengunduh HTTP yang mengirimkan muatan berbahaya.

Bootkit ini mengeksploitasi kerentanan boot keamanan berusia setahun di bawah CVE-2022-21894. Meskipun kerentanan ini telah ditambal tahun lalu di bulan Januari, ESET mencatat bahwa eksploitasi ini masih dimungkinkan karena binari yang ditandatangani belum ditambahkan ke daftar pencabutan UEFI.

BACA JUGA:  OPPO Find X6 Pro bocor secara online dan eksklusif untuk China

Berikut ringkasan bootkit BlackLotus menurut ESET:

  • Itu dapat berjalan pada sistem Windows 11 terbaru dan sepenuhnya ditambal dengan UEFI Secure Boot diaktifkan.

  • Itu mengeksploitasi kerentanan berusia satu tahun (CVE-2022-21894) untuk mem-bypass UEFI Secure Boot dan mengonfigurasi kegigihan untuk bootkit. Ini adalah penyalahgunaan kerentanan ini yang diketahui publik pertama kali.

  • Meskipun kerentanan telah ditambal dalam Pembaruan Januari 2022 Microsoft, eksploitasinya masih dimungkinkan karena binari yang ditandatangani secara sah belum ditambahkan ke daftar pencabutan UEFI. BlackLotus mengambil keuntungan dari ini dengan membawa salinannya sendiri yang sah – tetapi rentan – binari ke dalam sistem untuk mengeksploitasi kerentanan.

  • Itu dapat menonaktifkan mekanisme keamanan sistem operasi seperti BitLocker, HVCI dan Windows Defender.

  • Setelah terinstal, tujuan utama bootkit adalah untuk menerapkan driver kernel (yang antara lain melindungi bootkit dari penghapusan) dan pengunduh HTTP yang bertanggung jawab untuk berkomunikasi dengan C&C dan mampu memuat muatan tambahan dalam mode pengguna atau dalam kernel mode.

Anda dapat menemukan lebih banyak detail teknis di postingan blog resmi ESET di sini.

Baca Juga

TWIRL 106: Peluncuran siap untuk Rocket Lab, Relativity Space, dan SpaceX
Rufus 3.22 Beta menambahkan opsi untuk menonaktifkan BitLocker, menghapus unduhan ISO di Windows 7
Dapatkan HotSpot Shield VPN Premium selama 3 tahun hanya dengan $89,99
Amazon Deals: WD Red Pro, Seagate 20TB 16TB CMR NAS HDD tersedia dengan diskon hingga 56%
Hemat ratusan dolar dengan penawaran monitor gaming terbaru dari Samsung
Mencari NVMe? Anda tidak boleh melewatkan kesepakatan Crucial P5 Plus SSD, Samsung 980 Pro juga turun