Bộ công cụ khởi động BlackLotus là phần mềm độc hại trong thế giới thực đầu tiên được biết là có thể vượt qua các biện pháp bảo vệ Secure Boot, cho phép thực thi mã độc trước khi máy tính của người dùng bắt đầu tải Windows và nhiều biện pháp bảo vệ bảo mật của nó. Secure Boot đã được bật theo mặc định trong hơn một thập kỷ trên hầu hết các máy tính Windows được bán bởi các công ty như Dell, Lenovo, HP, Acer và các hãng khác. Máy tính chạy Windows 11 phải được kích hoạt Secure Boot để đáp ứng các yêu cầu hệ thống của phần mềm.
Microsoft cho biết lỗ hổng bảo mật có thể bị kẻ tấn công khai thác bằng quyền truy cập vật lý vào hệ thống hoặc quyền quản trị viên trên hệ thống. Nó có thể ảnh hưởng đến PC vật lý và máy ảo có kích hoạt Secure Boot.
Bản vá mới này không giống như các bản vá Windows có mức độ ưu tiên cao khác, theo đó bản cập nhật sẽ bị tắt theo mặc định trong ít nhất vài tháng sau khi được cài đặt và một phần vì bản cập nhật cuối cùng sẽ khiến phương tiện khởi động Windows hiện tại không thể khởi động được. Bản vá yêu cầu các thay đổi đối với trình quản lý khởi động Windows không thể đảo ngược sau khi chúng được bật.
"Tính năng Secure Boot kiểm soát chính xác phương tiện khởi động được phép tải khi hệ điều hành được khởi chạy và nếu bản vá này không được kích hoạt đúng cách thì có khả năng gây ra sự gián đoạn và ngăn hệ thống khởi động", một trong số các bài viết hỗ trợ của Microsoft về bản cập nhật này cho biết.
Ngoài ra, khi bản vá được kích hoạt, máy tính của người dùng sẽ không thể khởi động từ phương tiện cũ hơn. Trong danh sáchcác phương tiện bị ảnh hưởng có: Windows cài đặt phương tiện như DVD và ổ USB được tạo từ các tệp ISO của Microsoft; hình ảnh cài đặt Windows tùy chỉnh được duy trì bởi bộ phận CNTT; bản sao lưu toàn bộ hệ thống; ổ đĩa khởi động mạng bao gồm những ổ đĩa được bộ phận CNTT sử dụng để khắc phục sự cố máy và triển khai hình ảnh Windows mới; ổ đĩa khởi động rút gọn sử dụng Windows PE và phương tiện khôi phục được bán cùng với PC OEM.
Microsoft sẽ phát hành bản cập nhật theo từng giai đoạn trong vài tháng tới. Phiên bản ban đầu của bản vá yêu cầu sự can thiệp đáng kể của người dùng để kích hoạt, trước tiên người dùng cần cài đặt các bản cập nhật bảo mật của tháng 5, sau đó sử dụng quy trình năm bước để áp dụng và xác minh thủ công một cặp "tệp thu hồi" cập nhật phân vùng khởi động EFI ẩn của hệ thống và registry.
Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa của ESET, đã mô tả mức độ nghiêm trọng của BlackLotus và các bootkit khác như sau: “Điểm nổi bật cuối cùng là UEFI bootkit BlackLotus có thể tự cài đặt trên các hệ thống cập nhật bằng phiên bản Windows mới nhất có kích hoạt Secure Boot. Mặc dù lỗ hổng đã cũ nhưng vẫn có thể tận dụng nó để vượt qua tất cả các biện pháp bảo mật và làm tổn hại đến quá trình khởi động của hệ thống, cho phép kẻ tấn công kiểm soát giai đoạn đầu của quá trình khởi động hệ thống. Nó cũng minh họa một xu hướng trong đó những kẻ tấn công đang tập trung vào Phân vùng hệ thống EFI (ESP) thay vì firmware cho bộ cấy của chúng”.
Bản vá này không phải là sự cố bảo mật gần đây duy nhất làm nổi bật những khó khăn trong việc vá các lỗ hổng UEFI và Secure Boot cấp thấp; nhà sản xuất máy tính và bo mạch chủ MSI gần đây cũng đã bị rò rỉ các khóa ký trong một cuộc tấn công ransomware.
Nguyễn Anh Tuấn (theo ArsTechnica)
13:00 | 21/06/2023
16:00 | 25/05/2023
07:00 | 19/05/2023
14:00 | 16/05/2023
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
08:00 | 16/12/2024
Ngày 3/12, Trung tâm An ninh mạng quốc gia Anh (NCSC) vừa công bố đánh giá thường niên cho thấy các cuộc tấn công mạng nghiêm trọng nhằm vào các tổ chức và công ty của nước này trong 12 tháng qua đã tăng gấp 3 lần năm 2023, trong đó có các sự cố lớn ảnh hưởng đến các bệnh viện ở London và Thư viện quốc gia Anh.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
13:00 | 13/01/2025