Bộ công cụ khởi động BlackLotus là phần mềm độc hại trong thế giới thực đầu tiên được biết là có thể vượt qua các biện pháp bảo vệ Secure Boot, cho phép thực thi mã độc trước khi máy tính của người dùng bắt đầu tải Windows và nhiều biện pháp bảo vệ bảo mật của nó. Secure Boot đã được bật theo mặc định trong hơn một thập kỷ trên hầu hết các máy tính Windows được bán bởi các công ty như Dell, Lenovo, HP, Acer và các hãng khác. Máy tính chạy Windows 11 phải được kích hoạt Secure Boot để đáp ứng các yêu cầu hệ thống của phần mềm.
Microsoft cho biết lỗ hổng bảo mật có thể bị kẻ tấn công khai thác bằng quyền truy cập vật lý vào hệ thống hoặc quyền quản trị viên trên hệ thống. Nó có thể ảnh hưởng đến PC vật lý và máy ảo có kích hoạt Secure Boot.
Bản vá mới này không giống như các bản vá Windows có mức độ ưu tiên cao khác, theo đó bản cập nhật sẽ bị tắt theo mặc định trong ít nhất vài tháng sau khi được cài đặt và một phần vì bản cập nhật cuối cùng sẽ khiến phương tiện khởi động Windows hiện tại không thể khởi động được. Bản vá yêu cầu các thay đổi đối với trình quản lý khởi động Windows không thể đảo ngược sau khi chúng được bật.
"Tính năng Secure Boot kiểm soát chính xác phương tiện khởi động được phép tải khi hệ điều hành được khởi chạy và nếu bản vá này không được kích hoạt đúng cách thì có khả năng gây ra sự gián đoạn và ngăn hệ thống khởi động", một trong số các bài viết hỗ trợ của Microsoft về bản cập nhật này cho biết.
Ngoài ra, khi bản vá được kích hoạt, máy tính của người dùng sẽ không thể khởi động từ phương tiện cũ hơn. Trong danh sáchcác phương tiện bị ảnh hưởng có: Windows cài đặt phương tiện như DVD và ổ USB được tạo từ các tệp ISO của Microsoft; hình ảnh cài đặt Windows tùy chỉnh được duy trì bởi bộ phận CNTT; bản sao lưu toàn bộ hệ thống; ổ đĩa khởi động mạng bao gồm những ổ đĩa được bộ phận CNTT sử dụng để khắc phục sự cố máy và triển khai hình ảnh Windows mới; ổ đĩa khởi động rút gọn sử dụng Windows PE và phương tiện khôi phục được bán cùng với PC OEM.
Microsoft sẽ phát hành bản cập nhật theo từng giai đoạn trong vài tháng tới. Phiên bản ban đầu của bản vá yêu cầu sự can thiệp đáng kể của người dùng để kích hoạt, trước tiên người dùng cần cài đặt các bản cập nhật bảo mật của tháng 5, sau đó sử dụng quy trình năm bước để áp dụng và xác minh thủ công một cặp "tệp thu hồi" cập nhật phân vùng khởi động EFI ẩn của hệ thống và registry.
Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa của ESET, đã mô tả mức độ nghiêm trọng của BlackLotus và các bootkit khác như sau: “Điểm nổi bật cuối cùng là UEFI bootkit BlackLotus có thể tự cài đặt trên các hệ thống cập nhật bằng phiên bản Windows mới nhất có kích hoạt Secure Boot. Mặc dù lỗ hổng đã cũ nhưng vẫn có thể tận dụng nó để vượt qua tất cả các biện pháp bảo mật và làm tổn hại đến quá trình khởi động của hệ thống, cho phép kẻ tấn công kiểm soát giai đoạn đầu của quá trình khởi động hệ thống. Nó cũng minh họa một xu hướng trong đó những kẻ tấn công đang tập trung vào Phân vùng hệ thống EFI (ESP) thay vì firmware cho bộ cấy của chúng”.
Bản vá này không phải là sự cố bảo mật gần đây duy nhất làm nổi bật những khó khăn trong việc vá các lỗ hổng UEFI và Secure Boot cấp thấp; nhà sản xuất máy tính và bo mạch chủ MSI gần đây cũng đã bị rò rỉ các khóa ký trong một cuộc tấn công ransomware.
Nguyễn Anh Tuấn (theo ArsTechnica)
13:00 | 21/06/2023
16:00 | 25/05/2023
07:00 | 19/05/2023
14:00 | 16/05/2023
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
10:00 | 19/11/2024
Các cuộc tấn công vào chuỗi cung ứng phần mềm trong vài năm gần đây đã để lại nhiều bài học đắt giá. Những sự cố này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến niềm tin vào độ bảo mật của các dịch vụ công nghệ. Bài báo này điểm qua 10 cuộc tấn công chuỗi cung ứng phần mềm nổi bật và những bài học kinh nghiệm.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025