BlackLotus BootKit补丁不会阻止入侵

目前还不清楚为什么美国国家安全局发布了针对软件启动威胁的深入缓解指南，但组织应该采取措施加强他们的环境。

美国国家安全局(NSA)敦促系统管理员不仅要打补丁，还要保护Windows 10和Windows 11电脑免受BlackLotus引导工具包恶意软件的侵害。

去年秋天，黑莲花在暗网上以5000美元的价格出售，引起了人们的关注。它是第一个成功绕过微软统一可扩展固件接口(UEFI)安全启动保护的恶意软件。

UEFI是负责启动程序的固件，因此它在操作系统内核和任何其他软件之前加载。需要注意的是，BlackLotus是一种软件威胁，而不是固件威胁。

它利用UEFI安全启动功能中的两个漏洞将自己插入UEFI启动的软件启动过程的最早阶段:CVE-2022-21894，又名Baton Drop, CVSS评分4.4;CVE-2023-24932, CVSS评分6.7。微软分别在2022年1月和2023年5月修补了这些漏洞。

但该国最高技术情报部门警告说，应用可用的Windows 10和Windows 11补丁只是良好的第一步。

根据美国国家安全局发布的BlackLotus缓解指南(PDF)显示，补丁并没有通过安全引导拒绝列表数据库(DBX)撤销对未打补丁的引导加载程序的信任。管理员不应认为该威胁已完全修复，因为易受Baton Drop攻击的引导加载程序仍然受到安全引导的信任。

这意味着恶意行为者可以简单地用合法但易受攻击的版本替换完全修补的引导加载程序，以便在受损的端点上执行BlackLotus。

微软计划在2024年初发布一个更全面的修复程序来解决这个问题，但在此之前，NSA建议基础设施所有者采取额外的措施来强化他们的系统，例如收紧用户可执行策略，并监控引导分区的完整性。一种可选的高级缓解措施是通过向所有Windows端点添加DBX记录来自定义安全引导策略。

美国国家安全局平台安全分析师Zachary Blum在报告中表示:“保护系统免受黑莲花攻击不是一个简单的解决方案。”

Viakoo实验室副总裁约翰•加拉格尔指出，的确这份报告提供了广泛的强化建议，但全面实施NSA的指导方针本身就是一个过程。

鉴于美国国家安全局指南的手工性质，许多组织将发现他们没有完全修复这一漏洞所需的资源。在微软提供一个更完整的解决方案之前，还应该使用网络访问控制和流量分析等其他措施。