黑莲花 UEFI 启动工具包对 Windows 11 安全启动的突破

关键要点

• BlackLotus UEFI 启动工具包成功绕过所有启用安全启动的 Windows 11 设备。
• 该工具包利用了 CVE-2022-21894 漏洞。
• 此恶意软件还可以禁用多个安全系统，包括 Windows Defender 和 BitLocker。
• 通过分发内核驱动程序，BlackLotus 阻止启动工具包文件的删除。
• 行业专家预测会有更多此类恶意软件出现。

所有启用安全启动的 Windows 11 设备都可能被 绕过，这使其成为首个实现这一成就的恶意软件，报道来自 。这种绕过安全启动保护的能力是由于
BlackLotus 对 CVE-2022-21894 漏洞的利用，而该漏洞已在 2022 年 1 月由微软修复。

根据 ESET 的报告，此工具包还允许禁用其他安全系统，包括 Windows Defender、Hypervisor 保护的代码完整性和
BitLocker，以帮助逃避用户帐户控制。BlackLotus 继续分发内核驱动程序，以防止启动工具包文件的删除，以及 HTTP下载器，以方便在与命令与控制服务器联系后执行有效载荷，报告中提到。

“只不过是时间问题，才能有人利用这些漏洞，创建能够在启用 UEFI 安全启动的系统上运行的 UEFI 启动工具包，”ESET 恶意软件分析师
Martin Smolr 说道。

以下是有关此漏洞的详细信息：

漏洞名称 | 漏洞编号 | 解决时间 | 影响设备
—|—|—|—
BlackLotus UEFI | CVE-2022-21894 | 2022 年 1 月 | 所有启用安全启动的 Windows 11 设备

总之，BlackLotus的出现显示了对安全系统的新的挑战，迫使系统管理员和用户继续提高安全防护意识，并及时更新安全补丁。有关这方面的更多信息，请参考以上链接和 ESET的详细报告。