Bộ công cụ khởi động BlackLotus là phần mềm độc hại trong thế giới thực đầu tiên được biết là có thể vượt qua các biện pháp bảo vệ Secure Boot, cho phép thực thi mã độc trước khi máy tính của người dùng bắt đầu tải Windows và nhiều biện pháp bảo vệ bảo mật của nó. Secure Boot đã được bật theo mặc định trong hơn một thập kỷ trên hầu hết các máy tính Windows được bán bởi các công ty như Dell, Lenovo, HP, Acer và các hãng khác. Máy tính chạy Windows 11 phải được kích hoạt Secure Boot để đáp ứng các yêu cầu hệ thống của phần mềm.
Microsoft cho biết lỗ hổng bảo mật có thể bị kẻ tấn công khai thác bằng quyền truy cập vật lý vào hệ thống hoặc quyền quản trị viên trên hệ thống. Nó có thể ảnh hưởng đến PC vật lý và máy ảo có kích hoạt Secure Boot.
Bản vá mới này không giống như các bản vá Windows có mức độ ưu tiên cao khác, theo đó bản cập nhật sẽ bị tắt theo mặc định trong ít nhất vài tháng sau khi được cài đặt và một phần vì bản cập nhật cuối cùng sẽ khiến phương tiện khởi động Windows hiện tại không thể khởi động được. Bản vá yêu cầu các thay đổi đối với trình quản lý khởi động Windows không thể đảo ngược sau khi chúng được bật.
"Tính năng Secure Boot kiểm soát chính xác phương tiện khởi động được phép tải khi hệ điều hành được khởi chạy và nếu bản vá này không được kích hoạt đúng cách thì có khả năng gây ra sự gián đoạn và ngăn hệ thống khởi động", một trong số các bài viết hỗ trợ của Microsoft về bản cập nhật này cho biết.
Ngoài ra, khi bản vá được kích hoạt, máy tính của người dùng sẽ không thể khởi động từ phương tiện cũ hơn. Trong danh sáchcác phương tiện bị ảnh hưởng có: Windows cài đặt phương tiện như DVD và ổ USB được tạo từ các tệp ISO của Microsoft; hình ảnh cài đặt Windows tùy chỉnh được duy trì bởi bộ phận CNTT; bản sao lưu toàn bộ hệ thống; ổ đĩa khởi động mạng bao gồm những ổ đĩa được bộ phận CNTT sử dụng để khắc phục sự cố máy và triển khai hình ảnh Windows mới; ổ đĩa khởi động rút gọn sử dụng Windows PE và phương tiện khôi phục được bán cùng với PC OEM.
Microsoft sẽ phát hành bản cập nhật theo từng giai đoạn trong vài tháng tới. Phiên bản ban đầu của bản vá yêu cầu sự can thiệp đáng kể của người dùng để kích hoạt, trước tiên người dùng cần cài đặt các bản cập nhật bảo mật của tháng 5, sau đó sử dụng quy trình năm bước để áp dụng và xác minh thủ công một cặp "tệp thu hồi" cập nhật phân vùng khởi động EFI ẩn của hệ thống và registry.
Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa của ESET, đã mô tả mức độ nghiêm trọng của BlackLotus và các bootkit khác như sau: “Điểm nổi bật cuối cùng là UEFI bootkit BlackLotus có thể tự cài đặt trên các hệ thống cập nhật bằng phiên bản Windows mới nhất có kích hoạt Secure Boot. Mặc dù lỗ hổng đã cũ nhưng vẫn có thể tận dụng nó để vượt qua tất cả các biện pháp bảo mật và làm tổn hại đến quá trình khởi động của hệ thống, cho phép kẻ tấn công kiểm soát giai đoạn đầu của quá trình khởi động hệ thống. Nó cũng minh họa một xu hướng trong đó những kẻ tấn công đang tập trung vào Phân vùng hệ thống EFI (ESP) thay vì firmware cho bộ cấy của chúng”.
Bản vá này không phải là sự cố bảo mật gần đây duy nhất làm nổi bật những khó khăn trong việc vá các lỗ hổng UEFI và Secure Boot cấp thấp; nhà sản xuất máy tính và bo mạch chủ MSI gần đây cũng đã bị rò rỉ các khóa ký trong một cuộc tấn công ransomware.
Nguyễn Anh Tuấn (theo ArsTechnica)
13:00 | 21/06/2023
16:00 | 25/05/2023
07:00 | 19/05/2023
14:00 | 16/05/2023
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024