BlackLotus は、更新された Windows 11 でセキュア ブート、Microsoft Defender、VBS、BitLocker をバイパスします

ESET アンチマルウェアのセキュリティ研究部門である WeLiveSecurity は、BlackLotus のセキュリティ脆弱性に関するレポートを昨日リリースしました。このセキュリティ上の欠陥はまったく新しいものではありませんが、昨年の半ば頃からインターネット上で巡回が行われていたため、このブートキットを危険にしているのは、完全に更新された Windows 11 システムでもセキュア ブート システムをバイパスできることです (つまり、以前のWindows バージョンも同様に脆弱である可能性があります)。

BlackLotus は、仮想化ベースのセキュリティ (VBS) 機能である Hypervisor-protected Code Integrity (HVCI) と BitLocker 暗号化を無効にするためにレジストリを変更するため、もちろんそれだけではありません。また、Early Launch Anti-Malware ( ELAM ) ドライバーと Windows Defender ファイル システム フィルター ドライバーを操作して、Windows Defender を無効にします。最終的な目的は、悪意のあるペイロードを配信する HTTP ダウンローダーを展開することです。

このブートキットは、CVE-2022-21894 に基づく 1 年前のセキュリティ ブートの脆弱性を悪用します。この脆弱性は昨年の 1 月に既にパッチが適用されていますが、署名付きバイナリがまだ UEFI 失効リストに追加されていないため、ESET はこれを悪用する可能性があると指摘しています。

ESET による BlackLotus ブートキットの概要は次のとおりです。

• UEFI セキュア ブートが有効になっている、完全にパッチが適用された最新の Windows 11 システムで実行できます。

• 1 年以上前の脆弱性 (CVE-2022-21894) を悪用して、UEFI セキュア ブートをバイパスし、ブートキットの永続性を設定します。これは、この脆弱性が実際に悪用された最初の事例です。

• この脆弱性は Microsoft の 2022 年 1 月の更新プログラムで修正されましたが、影響を受ける有効な署名付きバイナリがまだ UEFI 失効リストに追加されていないため、脆弱性が悪用される可能性があります。BlackLotus はこれを利用して、脆弱性を悪用するために、正当ではあるが脆弱なバイナリの独自のコピーをシステムに持ち込みます。

• BitLocker、HVCI、Windows Defender などの OS セキュリティ メカニズムを無効にすることができます。

• インストール後のブートキットの主な目的は、カーネル ドライバー (特に、ブートキットが削除されないように保護する) と、C&C との通信を担当し、追加のユーザー モードまたはカーネル モードのペイロードをロードできる HTTP ダウンローダーを展開することです。 .

技術的な詳細については、ESET の公式ブログ投稿(こちら)を参照してください。