เมนู

BlackLotus malware สามารถ bypass
Secure Boot บน Windows 11

BlackLotus

CVE-2022-21894 ปิดฟังก์ชันการป้องกันต่างๆ บนระบบปฏิบัติการ Windows เช่น HVCI, Bit locker, Windows Defender และ Bypass UAC


7 มีนาคม 2566

Unified Extensible Firmware Interface (UEFI) Bootkit หรือที่มีอีกชื่อว่า BlackLotus เป็นมัลแวร์ตัวแรกที่สามารถ bypass ผ่านการตรวจสอบ Secure Boot บนระบบปฏิบัติการ Windows11 ได้ โดยการเปิดใช้งาน UEFI Secure Boot

บริษัทด้านความปลอดภัยทางไซเบอร์ของประเทศสโลวาเกีย (ESET) พบมัลแวร์ดังกล่าว ถูกวางขาย Dark Web ด้วยมูลค่า 5000$ ซึ่งช่องโหว่นี้ถูกพบมาแล้วมากกว่า 1 ปี และถูกติดตามด้วยหมายเลข CVE-2022-21894

แม้ว่าช่องโหว่ได้รับการตรวจพบจากทาง Microsoft แล้วแต่การแก้ไขอยู่ระหว่างดำเนินการและ Microsoft ยังคงคิดค้นวิธีการแก้ไขช่องโหว่ที่เกิดขึ้นนี้ หากเมื่อ BlackLotus เข้าสู่ระบบได้แล้ว จะปิดระบบรักษาความปลอดภัยต่างๆ ของWindows แล้วติดตั้ง Kernel Driver และ HTTP downloader เพื่อใช้สื่อสาร command and control (C2) แล้ว run executes payloads ตามมา

จากเหตุการณ์ที่เกิดครั้งนี้คาดว่าจะเกิดอาชญากรไซเบอร์ มากขึ้น เนื่องด้วย BlackLotus สามารถปิดฟังก์ชันการป้องกันต่างๆ บนระบบปฏิบัติการ Windows ได้ เช่น Hypervisor protected Code Integrity (HVCI), Bit locker, Windows Defender และ Bypass UAC โดยที่ BlackLotus นี้ยังไม่ทราบว่ามาจากกลุ่มประเทศใดหากแต่ว่า ระบบจะไม่ทำงานหากคอมพิวเตอร์ที่ใช้งานที่เป็นเป้าหมายติดตั้งอยู่ในประเทศอาร์เมเนีย เบลารุส คาซัคสถาน มอลโดวา โรมาเนีย รัสเซีย และยูเครน

อ้างอิง: theregister.com

#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #BlackLotus #CVE-2022-21894 #CVE #CVSS