W styczniu tego roku firma Microsoft udostępniła łatkę bezpieczeństwa dla komputerów zaktualizowanych do systemu Windows 11. Łatka miała naprawić poważną lukę w mechanizmie bezpieczeństwa Bezpiecznego rozruchu. Jednak „BlackLotus”, jedno z najniebezpieczniejszych obecnie szkodliwych programów, nadal stanowi zagrożenie. W rezultacie Microsoft musiał wydać jeszcze jedną łatkę w tym tygodniu. Ta nowa łatka naprawia kolejny błąd, który BlackLotus wykorzystywał do zdalnego wykonywania kodu na komputerach swoich ofiar.
BlackLotus to wyrafinowany bootkit, który jest w stanie ominąć mechanizmy bezpieczeństwa SecureBoot. SecureBoot jest obowiązkowym wymogiem instalacji systemu Windows 11 lub aktualizacji do tej wersji. Jest to system bezpiecznego rozruchu, który został dołączony do zdecydowanej większości komputerów z systemem Windows wydanych w ostatniej dekadzie. Omijając te mechanizmy bezpieczeństwa, BlackLotus jest w stanie wykonać złośliwy kod nawet przed rozpoczęciem ładowania systemu operacyjnego po włączeniu komputera. Firma Microsoft zapewnia, że luka może zostać wykorzystana przez atakujących, którzy mają fizyczny dostęp do komputera z systemem Windows lub uprawnienia administratora w systemie.
Złośliwe oprogramowanie BlackLotus wykorzystuje luki w zabezpieczeniach systemu Windows 11
Wada, którą wykorzystuje BlackLotus, jest poważna i załatanie jej zajęło firmie Microsoft kilka miesięcy. Firma Microsoft potwierdziła te informacje ArsTechnica, stwierdzając, że luka w zabezpieczeniach nie zostanie usunięta przynajmniej do pierwszego kwartału 2024 r., ponieważ rozwiązanie musi zostać rozpropagowane w trzech różnych etapach, oddzielonych kilkoma miesięcy.
Pierwszy etap rozpoczął się w styczniu tego roku, kiedy Microsoft opublikował poprawka zabezpieczeń naprawiająca lukę CVE-2022-21894. Luka ta umożliwiła atakującym wykonanie dowolnego kodu w procesie Bezpiecznego rozruchu. Jednak BlackLotus nadal stanowił zagrożenie nawet po udostępnieniu tej łatki.
Drugi etap rozpoczął się niedawno, gdy firma Microsoft wydała nowa poprawka naprawiająca lukę CVE-2023-24932. Luka ta umożliwiła firmie BlackLotus zdalne wykonanie kodu na komputerach swoich ofiar. Łatka przeznaczona jest dla komputerów z systemem Windows 10 i Windows 11. Oprócz wersji systemu Windows Server późniejszych niż Windows Server 2008. Aktualizacja trafi jednak na urządzenia z wyłączoną łatką, a jej aktywacja potrwa kilka miesięcy. Dzieje się tak, ponieważ spowoduje to, że nośniki używane obecnie do uruchamiania systemu Windows na komputerach przestaną działać w wyniku zmian w programie ładującym, które będą nieodwracalne. Po aktywowaniu poprawki nie będzie można uruchomić systemu przy użyciu nośników, takich jak dyski USB lub stare płyty DVD, na których nie ma poprawki i na których działają wersje systemu Windows.
Gizchina Wiadomości tygodnia
To jest powód, dla którego firma Microsoft zdecydowała się rozłożyć rozwiązanie problemu w czasie. Aktualizacja mająca na celu ułatwienie aktywacji łatki pojawi się dopiero w czerwcu. A ostatni, odpowiedzialny za ostateczną aktywację rozwiązania problemu, będzie dostępny na początku 2024 r.
Microsoft kontynuuje walkę ze złośliwym oprogramowaniem BlackLotus za pomocą nowych poprawek bezpieczeństwa, ale zagrożenie utrzymuje się
Luka w zabezpieczeniach wykorzystywana przez BlackLotus jest poważna. Podkreśla też, jak ważne jest aktualizowanie komputera i jego systemów bezpieczeństwa. Chociaż firma Microsoft zaprojektowała system Bezpiecznego rozruchu w celu ochrony przed takimi atakami, zdeterminowani napastnicy nadal mogą złamać nawet najsilniejsze systemy bezpieczeństwa. Ponieważ BlackLotus nadal stanowi zagrożenie, ważne jest, aby użytkownicy podejmowali kroki w celu ochrony siebie.
Jednym ze sposobów na to jest aktualizowanie komputera i jego systemów bezpieczeństwa. Upewnij się, że niezwłocznie instalujesz wszelkie aktualizacje lub poprawki wydane przez firmę Microsoft, gdy tylko będą one dostępne. Dobrym pomysłem jest również aktualizowanie oprogramowania antywirusowego. I regularnie skanuj komputer w poszukiwaniu złośliwego oprogramowania. Ponadto powinieneś uważać na odwiedzane strony internetowe i pobierane pliki. Unikaj klikania linków lub pobierania plików z nieznanych źródeł, ponieważ często mogą one zawierać złośliwe oprogramowanie.
Podsumowując, BlackLotus jest poważny. Załatanie go zajęło Microsoftowi kilka miesięcy. Chociaż drugi etap łatki jest dostępny, pełna aktywacja zajmie kilka miesięcy. Istotne jest, aby użytkownicy podejmowali kroki w celu ochrony siebie poprzez aktualizowanie swoich komputerów i systemów bezpieczeństwa. Regularne skanowanie komputerów w poszukiwaniu złośliwego oprogramowania i zachowanie ostrożności w odniesieniu do odwiedzanych witryn i pobieranych plików. Stosując te środki ostrożności, użytkownicy mogą pomóc chronić się przed zagrożeniem ze strony BlackLotus i innego złośliwego oprogramowania.
Źródło/VIA: