ESETはこのほど、「BlackLotus UEFI bootkit: Myth confirmed|WeLiveSecurity」において、Windows 11のセキュアブートを回避する新たなユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)ブートキットが登場したと伝えた。「BlackLotus」と呼ばれるUEFIブートキットがセキュアブートを有効にしたWindows 11において実行可能であると報告している。

BlackLotus UEFI bootkit: Myth confirmed|WeLiveSecurity

BlackLotusは2022年10月頃に登場したとされている比較的新しいUEFIブートキット。ハッキングフォーラムで5000ドルで販売されていることが確認されている。UEFIブートキットはコンピュータの起動プロセス時に実行されるため、さまざまなセキュリティ機構を回避することができ、起動の初期起動段階で独自のペイロードを展開する非常に強力な脅威とされている。

BlackLotus simplified execution overview|WeLiveSecurity

このマルウェアはCVE-2022-21894として追跡されている脆弱性を悪用し、UEFIセキュアブートを回避して永続性を確保しているという。なおこの脆弱性は修正されており、Microsoftが2022年1月に公開したセキュリティアップデートで対応している。

BlackLotusは侵入に成功するとブートキットの削除を防ぐカーネルドライバを展開し、コマンド&コントロール(C2: Command and Control)通信を行い追加ペイロードをロードできるHTTPダウンローダを読み込むことが確認されている。またBitLocker、HVCI、Windows DefenderといったOSのセキュリティ機構を無効化できることも判明している。

1年以上前に明らかになった脆弱性が悪用されており、Microsoftはすでに修正プログラムを提供している。そのため、Windows 11を最新の状態に更新することで、この脅威からコンピュータを保護することができる。しかしながらここ数年、UEFIシステムのセキュリティに影響を与える多くの重大な脆弱性が発見されていると報告しており、UEFIエコシステム全体の複雑さや関連するサプライチェーンの問題により脆弱性が修正された後も、多くのシステムが脆弱性を放置したままにしていると懸念を伝えている。