保卫您的系统：抵御 BlackLotus UEFI 启动病毒的建议

关键要点

BlackLotus UEFI 启动病毒是一种新型的恶意软件，能绕过 Windows 的安全防护，具有强大的功能。NSA 警告组织们要加固系统，因为存在“显著的混淆”和“虚假的安全感”。虽然 Microsoft 已经发布了一些补丁，但有必要手动启用新保护措施。系统管理员需要仔细检查设备和可启动介质，以确保其已更新。

美国国家安全局NSA正在敦促各组织加强系统防护，抵御 BlackLotus UEFI 启动病毒恶意软件，并警告称有关其威胁的“显著混淆”及“虚假的安全感”。

旋风加速器ios

BlackLotus 最早在去年十月被发现，拥有强大的功能，包括禁用 Windows Defender、BitLocker 和受 Hypervisor 保护的代码完整性。该恶意软件还可以感染启用 安全启动 的 Windows 机器，利用了一个已知的漏洞CVE202221894，名为 Baton Drop。

Microsoft 在上个月解决了额外的 Baton Drop 漏洞CVE202324932，作为 五月的补丁星期二 发布了更新。但虽然新补丁提供了手动启用防护的选项，但这些防护并没有被自动启用。根据 Microsoft 的说法，系统管理员需要确保所有设备和可启动媒体已更新并准备好补丁，然后再启用新防护。

在周四发布的 网络安全信息通报PDF中，NSA 表示，对 BlackLotus 的混淆导致一些组织认为其是不可阻挡、无法修补的威胁，而另一些组织则因为已应用 Microsoft 发布的两个补丁而认为自己是安全的。

通报中提到：“风险出现在两个极端之间。”

“NSA 认为，目前发布的补丁可能会为一些基础设施提供虚假的安全感。由于 BlackLotus 将 Shim 和 GRUB 集成到其植入例程中，因此 Linux 管理员也应对影响流行 Linux 发行版的变种保持警惕。”

针对旧版启动引导程序的漏洞

BlackLotus 通过利用旧版启动引导程序或启动管理器中的漏洞，针对 Windows 启动，以引发一系列恶意行为，从而破坏终端安全。它利用了 Baton Drop 漏洞来剥离安全启动策略，并防止其强制执行。

BlackLotus 与 Boot Hole 共享某些特性。不同于 Boot Hole，BlackLotus 主要针对尚未被添加到安全启动拒绝列表数据库DBX撤销列表中的易受攻击的启动引导程序。

NSA 表示：“由于易受攻击的启动引导程序未列入 DBX，攻击者可以用易受攻击的版本替换完全修补的启动引导程序，以执行 BlackLotus。”

“管理员不应认为威胁完全解除，因为易受 Baton Drop 影响的启动引导程序仍然被安全启动信任。”

因此，利用 Baton Drop 的恶意行为者可绕过安全启动并危及设备安全。

抵御 BlackLotus 的建议

NSA 的平台安全分析师 Zachary Blum 表示