BlackLotus تتخطى UEFI Secure Boot في آخر تحديثات Windows 11

News
نشر الباحثين في شركة ESET تحليلاً لـ UEFI Bootkit قادرة علي تجاوز الـ UEFI Secure Boot، وهي ميزة أمنية مهمة جدا للنظام، مما دفع الباحثين يعتقدون أنه تهديد يُعرف باسم BlackLotus.
Abdelrahman Nasr
March 6, 2023, 2 p.m.
Abdelrahman
BlackLotus تتخطى UEFI Secure Boot في آخر تحديثات Windows 11

تم اكتشاف العديد من الثغرات والتهديدات الأمنية في السنوات القليلة الماضية التي تقوم بالتأثير على أمان أنظمة الـ UEFI، ولكن لسوء الحظ ونظراً لتعقيد أنظمة الـ UFEI، فإن العديد من الثغرات والتهديدات الأمنية جعلت من تلك الأنظمة عرضة للخطر، حتى بعد وقت طويل من القيام بإصلاحها.

وتُعد تهديدات الـ UEFI Bootkits خطيرة للغاية، لأنها تملك التحكم الكامل في عملية إقلاع النظام، مما يجعلها قادرة على تعطيل ميزات الأمان لدى أنظمة التشغيل المختلفة، وذلك ما يسمح لمستغلي الـ Bootkits بتشكيل تهديد يصعب اكتشافه وبصلاحيات كاملة.

ما هو BlackLotus UEFI Bootkit؟

نشر الباحثون في شركة ESET تحليلاً لـ UEFI Bootkit قادرة علي تجاوز الـ UEFI Secure Boot، وهي ميزة أمنية مهمة جدا للنظام، مما دفع الباحثين يعتقدون أنه تهديد يُعرف باسم BlackLotus.

تم بيع BlackLotus UEFI Bootkit على منتديات القرصنة علي الأقل بمقابل 5 الآف دولار منذ شهر أكتوبر 2022، ويمكنها العمل حتى مع أحدث أنظمة التشغيل بآخر تحديث من مايكروسوفت (Windows 11) وتخطِ الـ UEFI Secure Boot.

ما يستطيع BlackLotus UEFI Bootkit استغلاله؟

تستغل BlackLotus Bootkit ثغرة تجاوز عمرها العام (CVE-2022-21894) لتجاوز الـ UEFI Secure Boot، وعلى الرغم من إصلاح الثغرة الأمنية في تحديث قامت إطلاقه مايكروسوفت في شهر يناير 2022، إلا أنه لا يزال من الممكن استخدامها.

كما أن BlackLotus قادرة علي تعطيل ميزات الأمان في نظام التشغيل مثل BitLocker و HVCI و Windows Defender، حيث إنها بمجرد التثبيت تقوم بتعريف الـ Kernel والذي بدوره يحميها من محاولات الإزالة، مع تأسيس وفتح اتصال HTTP مع خادم التحكم.

وجد الباحثون في شركة ESET شيئاً مثيراً للاهتمام، أن BlackLotus لا تقوم بإكمال التثبيت للـ BootKit إذا كان جهاز الضحية يستخدم إحدى لغات تلك الدول (أرمينيا – بيلاروسيا – كازاخستان – مولدوفا – روسيا – أوكرانيا).

كيف تتصدى لـ BlackLotus؟

كانت النصيحة الأولي للحماية من الـ Bootkits بشكل عام هي تفعيل ميزة الـ Secure Boot لمنع إقلاع النظام إذا ما كان من مصدر غير موثوق أو قد تم التلاعب فيه، ولكن الآن ما تفعله BlackLotus هو تجاوز للـ UEFI Secure Boot، ولكن ما تستطيع فعله كمستخدم هو القيام بالتحديثات باستمرار لنظام التشغيل وبرامج الحماية وباقي التطبيقات، لمحاولة التقليل من احتمال وقوع التهديد.

وفي نهاية المقالة هل قمت بمواجهة أحد الـ Bootkits من قبل؟ أخبرنا بالتعليقات ... وإلى لقاء آخر قريب -إن شاء الله- في مقالة جديدة ...

BlackLotus boot bootkit uefi secure eset windows 11 microsoft defender bitlocker مايكروسوفت Abdelrahman Nasr