Πριν από λίγες ημέρες, μέσω του Patch Tuesday Ιουλίου, η Microsoft διέθεσε τη δεύτερη φάση επιδιόρθωσης για την ευπάθεια ασφαλούς εκκίνησης BlackLotus (BlackLotus secure boot).
Για την αντιμετώπιση του προβλήματος κυκλοφόρησαν δυναμικές ενημερώσεις λειτουργικού συστήματος τόσο για τα Windows 11 όσο και για τα Windows 10. Η πρώτη φάση συνέβη πριν από περίπου τέσσερις μήνες, τον Μάρτιο του 2023.
Για όσους δεν γνωρίζουν, το BlackLotus έχει την ικανότητα να παρακάμπτει διάφορα μέτρα ασφαλείας των Windows, όπως το Secure Boot, το Microsoft Defender, Virtualization-based Security (VBS) ή HVCI, το BitLocker και το UAC, ακόμη και στα ενημερωμένα συστήματα των Windows εκείνης της εποχής.
Εν τω μεταξύ διέρρευσε ο πηγαίος κώδικας του BlackLotus. Ανέβηκε στο GitHub από τον χρήστη Yukari ο οποίος αφαίρεσε την ευπάθεια Baton Drop (CVE-2022-21894) που χρησιμοποιήθηκε αρχικά από τους προγραμματιστές του κακόβουλου λογισμικού.
Ο πηγαίος κώδικας που διέρρευσε δεν είναι πλήρης και περιέχει κυρίως το τμήμα του rootkit και τον κώδικα του bootkit για παράκαμψη του secure boot. Τα περισσότερα από αυτές τις τεχνικές είναι γνωστές εδώ και χρόνια και δεν παρουσιάζουν σημαντικό ενδιαφέρον. Ωστόσο, το γεγονός ότι είναι δυνατός ο συνδυασμός τους με νέα exploits όπως έκανε και το BlackLotus ήταν κάτι απροσδόκητο για τον κλάδο και δείχνει τους πραγματικούς περιορισμούς των τρεχόντων επιδιορθώσεων του λειτουργικού συστήματος.
Η διαρροή BlackLotus δείχνει ότι παλιά κόλπα με rootkit και bootkit, σε συνδυασμό με τα νέα τρωτά σημεία παράκαμψης του Secure Boot, μπορούν να είναι πολύ αποτελεσματικά και να κρυφτούν από πολλά σύγχρονα endpoints ασφάλειας. Σε γενικές γραμμές, δείχνει τα σφάλματα της αλυσίδας ενημερώσεων της Microsoft, όπου μια επιδιόρθωση δεν φτάνει να επιδιορθώσει όλα τα σχετικά προβλήματα στο λειτουργικό σύστημα.
