Bộ công cụ khởi động BlackLotus là phần mềm độc hại trong thế giới thực đầu tiên được biết là có thể vượt qua các biện pháp bảo vệ Secure Boot, cho phép thực thi mã độc trước khi máy tính của người dùng bắt đầu tải Windows và nhiều biện pháp bảo vệ bảo mật của nó. Secure Boot đã được bật theo mặc định trong hơn một thập kỷ trên hầu hết các máy tính Windows được bán bởi các công ty như Dell, Lenovo, HP, Acer và các hãng khác. Máy tính chạy Windows 11 phải được kích hoạt Secure Boot để đáp ứng các yêu cầu hệ thống của phần mềm.
Microsoft cho biết lỗ hổng bảo mật có thể bị kẻ tấn công khai thác bằng quyền truy cập vật lý vào hệ thống hoặc quyền quản trị viên trên hệ thống. Nó có thể ảnh hưởng đến PC vật lý và máy ảo có kích hoạt Secure Boot.
Bản vá mới này không giống như các bản vá Windows có mức độ ưu tiên cao khác, theo đó bản cập nhật sẽ bị tắt theo mặc định trong ít nhất vài tháng sau khi được cài đặt và một phần vì bản cập nhật cuối cùng sẽ khiến phương tiện khởi động Windows hiện tại không thể khởi động được. Bản vá yêu cầu các thay đổi đối với trình quản lý khởi động Windows không thể đảo ngược sau khi chúng được bật.
"Tính năng Secure Boot kiểm soát chính xác phương tiện khởi động được phép tải khi hệ điều hành được khởi chạy và nếu bản vá này không được kích hoạt đúng cách thì có khả năng gây ra sự gián đoạn và ngăn hệ thống khởi động", một trong số các bài viết hỗ trợ của Microsoft về bản cập nhật này cho biết.
Ngoài ra, khi bản vá được kích hoạt, máy tính của người dùng sẽ không thể khởi động từ phương tiện cũ hơn. Trong danh sáchcác phương tiện bị ảnh hưởng có: Windows cài đặt phương tiện như DVD và ổ USB được tạo từ các tệp ISO của Microsoft; hình ảnh cài đặt Windows tùy chỉnh được duy trì bởi bộ phận CNTT; bản sao lưu toàn bộ hệ thống; ổ đĩa khởi động mạng bao gồm những ổ đĩa được bộ phận CNTT sử dụng để khắc phục sự cố máy và triển khai hình ảnh Windows mới; ổ đĩa khởi động rút gọn sử dụng Windows PE và phương tiện khôi phục được bán cùng với PC OEM.
Microsoft sẽ phát hành bản cập nhật theo từng giai đoạn trong vài tháng tới. Phiên bản ban đầu của bản vá yêu cầu sự can thiệp đáng kể của người dùng để kích hoạt, trước tiên người dùng cần cài đặt các bản cập nhật bảo mật của tháng 5, sau đó sử dụng quy trình năm bước để áp dụng và xác minh thủ công một cặp "tệp thu hồi" cập nhật phân vùng khởi động EFI ẩn của hệ thống và registry.
Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa của ESET, đã mô tả mức độ nghiêm trọng của BlackLotus và các bootkit khác như sau: “Điểm nổi bật cuối cùng là UEFI bootkit BlackLotus có thể tự cài đặt trên các hệ thống cập nhật bằng phiên bản Windows mới nhất có kích hoạt Secure Boot. Mặc dù lỗ hổng đã cũ nhưng vẫn có thể tận dụng nó để vượt qua tất cả các biện pháp bảo mật và làm tổn hại đến quá trình khởi động của hệ thống, cho phép kẻ tấn công kiểm soát giai đoạn đầu của quá trình khởi động hệ thống. Nó cũng minh họa một xu hướng trong đó những kẻ tấn công đang tập trung vào Phân vùng hệ thống EFI (ESP) thay vì firmware cho bộ cấy của chúng”.
Bản vá này không phải là sự cố bảo mật gần đây duy nhất làm nổi bật những khó khăn trong việc vá các lỗ hổng UEFI và Secure Boot cấp thấp; nhà sản xuất máy tính và bo mạch chủ MSI gần đây cũng đã bị rò rỉ các khóa ký trong một cuộc tấn công ransomware.
Nguyễn Anh Tuấn (theo ArsTechnica)
13:00 | 21/06/2023
16:00 | 25/05/2023
07:00 | 19/05/2023
14:00 | 16/05/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024