BlackLotus Microsoftu povzroča veliko dela

Jurij Kristan

14. maj 2023 ob 23:13:36

Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj so v Redmondu lansirali popravek (CVE-2023-24932) ... ki pa s seboj nosi goro drobnega tiska.

Ta hip je namreč privzeto izklopljen, nameščanje pa od uporabnika terja nekaj znanja in potrpežljivosti. Julija naj bi se postopek poenostavil, medtem ko naj bi nekje v prvih mesecih prihodnjega leta naposled postal privzet. In kaj (med drugim) napravi? Kodo v UEFI particiji in okenskem registru spremeni na način, da ne zaupa več starejšim, nepopravljenim medijem za namestitev Windowsov. Drugače očitno problema ne morejo rešiti. To pomeni, da ti mediji ne bodo več uporabni na zakrpanih napravah z vključenim Secure Bootom, če jih ne bomo prav tako posodobili, pri čemer sem spada vse od kupljenih inačic operacijskega sistema do varnostnih kopij. Tako bo bržkone še najbolj praktično varnostne slike Oken napraviti ponovno, proizvajalci prenosnikov pa bodo morali ponuditi posodobljene kopije.