Minden számítógép veszélyben lehet: kikerüli a Windows biztonságos rendszerindítását egy új kártevő

Hiába aktív minden biztonsági funkció és van telepítve minden frissítés, akkor is képes települni a BlackLotus a számítógépekre, sőt maga tudja deaktiválni például a vírusirtót is.

Meglehetősen rossz hírt jelentett be az ESET kiberbiztonsági cég szerdán a Windows-felhasználók számára: egy BlackLotus nevű kártevő bizonyítottan képes megkerülni az operációs rendszer Biztonságos rendszerindítás (Secure Boot) nevű funkcióját, mely azt hivatott szolgálni, hogy megakadályozza a kártékony szoftverek betöltését a számítógép indításakor.

A BlackLotus az első ismert kártevő, mely képes megkerülni a biztonságos rendszerindítást – a rosszindulatú program bármi más előtt indul el a számítógép indítási folyamatában, még az operációs rendszernél is hamarabb.

A kártevőt Sergey Lozhkin, a Kaspersky biztonsági kutatója fedezte fel még tavaly októberben kártevők árusítására specializálódott piactereken, és azóta is zajlott a vizsgálata.

Az ESET a szerdai írásában hangsúlyozza: a BlackLotus – melyet körülbelül 5000 dollárért árulnak az illegális hackerfórumokon – már ismerten képes megkerülni a biztonságos rendszerindítást, akár egy naprakész, minden biztonsági frissítést tartalmazó Windows 11-en is.

Ha ez nem lenne elég, a kártevő a rendszer biztonsági funkcióit – a lemeztitkosítást végző BitLockert, valamint a Windows Defender vírusirtót – is képes letiltani.

A BlackLotus egy CVE-2022-21894 nevű, több mint egyéves sérülékenységet használ ki, melyet a Microsoft 2022 januárjában javított ugyan, de egy módszerrel továbbra is ki tudja használni azt a kártevő a biztonságos rendszerindítás megkerülésére.

A The Register hozzátette: várhatóan sok kiberbűnöző fogja kihasználni ezt a sérülékenységet különböző célokra.

Forrás: HVG