BlackLotus malware สามารถ bypass
Secure Boot บน Windows 11
7 มีนาคม 2566
Unified Extensible Firmware Interface (UEFI) Bootkit หรือที่มีอีกชื่อว่า BlackLotus เป็นมัลแวร์ตัวแรกที่สามารถ bypass ผ่านการตรวจสอบ Secure Boot บนระบบปฏิบัติการ Windows11 ได้ โดยการเปิดใช้งาน UEFI Secure Boot
บริษัทด้านความปลอดภัยทางไซเบอร์ของประเทศสโลวาเกีย (ESET) พบมัลแวร์ดังกล่าว ถูกวางขาย Dark Web ด้วยมูลค่า 5000$ ซึ่งช่องโหว่นี้ถูกพบมาแล้วมากกว่า 1 ปี และถูกติดตามด้วยหมายเลข CVE-2022-21894
แม้ว่าช่องโหว่ได้รับการตรวจพบจากทาง Microsoft แล้วแต่การแก้ไขอยู่ระหว่างดำเนินการและ Microsoft ยังคงคิดค้นวิธีการแก้ไขช่องโหว่ที่เกิดขึ้นนี้ หากเมื่อ BlackLotus เข้าสู่ระบบได้แล้ว จะปิดระบบรักษาความปลอดภัยต่างๆ ของWindows แล้วติดตั้ง Kernel Driver และ HTTP downloader เพื่อใช้สื่อสาร command and control (C2) แล้ว run executes payloads ตามมา
จากเหตุการณ์ที่เกิดครั้งนี้คาดว่าจะเกิดอาชญากรไซเบอร์ มากขึ้น เนื่องด้วย BlackLotus สามารถปิดฟังก์ชันการป้องกันต่างๆ บนระบบปฏิบัติการ Windows ได้ เช่น Hypervisor protected Code Integrity (HVCI), Bit locker, Windows Defender และ Bypass UAC โดยที่ BlackLotus นี้ยังไม่ทราบว่ามาจากกลุ่มประเทศใดหากแต่ว่า ระบบจะไม่ทำงานหากคอมพิวเตอร์ที่ใช้งานที่เป็นเป้าหมายติดตั้งอยู่ในประเทศอาร์เมเนีย เบลารุส คาซัคสถาน มอลโดวา โรมาเนีย รัสเซีย และยูเครน
#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #BlackLotus #CVE-2022-21894 #CVE #CVSS
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา