Mircosoft veröffentlicht Anleitung für Windows Secure Boot, Defender, VBS, BitLocker-Umgehung von BlackLotus

Letzten Monat hat WeLiveSecurity, der Sicherheitsforschungsbereich von ESET Anti-Malware-Lösungen, seinen Bericht über die BlackLotus-Sicherheitslücke veröffentlicht.

BlackLotus ist ein UEFI-Bootkit, das besonders gefährlich ist, weil es in der Lage ist, Secure Boot-Systeme zu umgehen, selbst auf aktualisierten Windows 11-Systemen. Darüber hinaus nimmt BlackLotus auch Änderungen an der Registrierung vor, um die Hypervisor-geschützte Code-Integrität (HVCI) zu deaktivieren, bei der es sich um eine Virtualisierungs-basierte Sicherheitsfunktion (VBS) handelt; ebenso wie die BitLocker-Verschlüsselung. Außerdem deaktiviert er Windows Defender durch Manipulation des ELAM-Treibers (Early Launch Anti-Malware) und des Windows Defender Dateisystemfilter-Treibers. Das eigentliche Ziel ist die Bereitstellung eines HTTP-Downloaders, der schädliche Programme überträgt.

Obwohl die als "Baton Drop" (CVE-2022-21894) bezeichnete Sicherheitslücke bereits vor einem Jahr geschlossen wurde, wird sie immer noch ausgenutzt, da signierte Binärdateien noch nicht zur UEFI-Sperrliste hinzugefügt wurden. In einem kürzlich veröffentlichten Leitfaden hat Microsoft die gefährlichen Aktivitäten zusammengefasst, die BlackLotus ausführt, sobald er das System infiziert hat:

Die Malware nutzt CVE-2022-21894 (auch bekannt als Baton Drop), um Windows Secure Boot zu umgehen und anschließend bösartige Dateien auf der EFI-Systempartition (ESP) zu installieren, die von der UEFI-Firmware gestartet werden. Dies ermöglicht es dem Bootkit:

  • Persistenz zu erreichen, indem der Machine Owner Key (MOK) des Angreifers registriert wird
  • HVCI zu deaktivieren, um die Bereitstellung eines bösartigen Kernel-Treibers zu ermöglichen
  • den Kernel-Treiber zu nutzen, um den HTTP-Downloader im Benutzermodus für Command and Control (C2) einzusetzen
  • Deaktivieren Sie Bitlocker, um Manipulationsschutzstrategien unter Windows zu vermeiden
  • Deaktivieren Sie Microsoft Defender Antivirus, um eine weitere Erkennung zu vermeiden

In der Anleitung hat der Technologiekonzern detailliert beschrieben, wie sich feststellen lässt, ob die Geräte in einem Unternehmen infiziert sind, und welche Wiederherstellungs- und Präventionsstrategien es gibt. Sie können die Anleitung auf der offiziellen Website von Microsoft einsehen.