- Ide o plne funkčný UEFI bootkit, ktorý sa už predáva na undergroundových fórach (cena ~ 5 000 USD) a používa dve zásadné zraniteľnosti, najmä CVE‑2022‑21894 („Baton Drop“) a následne aj nový exploit CVE‑2023‑24932 reddit.com+13techspot.com+13techspot.com+13.
- Tento malware umožňuje spustiť škodlivý kód ešte pred načítaním operačného systému, čo klasické antivírusy ani časť ochrán nevidia .
⚠️ Ako funguje útok?
- Baton Drop (CVE‑2022‑21894): BlackLotus načíta vlastnú verziu legitímnych (ale zraniteľných) bootloaderov a pomocou truncatememory option odstráni Secure Boot policy z pamäte techspot.com+11welivesecurity.com+11media.defense.gov+11.
- Vytvorí persistenciu cez MOK (Machine Owner Key), čo umožňuje bootovať škodlivý kód aj pri ďalších reštartoch welivesecurity.com+1media.defense.gov+1.
- Malware následne:
- deaktivuje BitLocker a HVCI,
- zavedie rootkit a loader na stiahnutie ďalších škodlivých komponentov reddit.com+10welivesecurity.com+10techspot.com+10.
- Následné zraniteľnosti, ako CVE‑2023‑24932, slúžia na upevnenie malvéru – Microsoft vydal manuálne kroky na ich zablokovanie, ale automatické uzavretie ešte prebieha elevenforum.com+7techspot.com+7avertium.com+7.
🛡 Ochranné opatrenia
- Aktualizujte systém a boot média s patchmi od mája 2023 a neskôr, a vykonajte manuálne kroky podľa KB5025885 reddit.com+4reddit.com+4support.microsoft.com+4.
- Overte stav Secure Boot DBX – zablokujte vulnerable bootloadery (CVE‑2022‑21894 & CVE‑2023‑24932).
- Použite NSA Mitigation Guide a Microsoft dokumentáciu na overovanie integrity a vyhľadanie indikátorov kompromitácie (napr. zmenené EFI súbory) reddit.com+10media.defense.gov+10nsa.gov+10.
- V citlivých prostrediach:
- monitorujte EFI oddiel,
- sledujte log UEFI/BIOS udalostí,
- implementujte policy na obnovenie systému ak je kompromitovaný.
📰 Prečo sa BlackLotus medzi poslednými článkami nespomína?
- Nový článok z 12. júna 2025 (dva exploity) sa sústredil na dve nové zraniteľnosti – CVE‑2025‑3052 a CVE‑2025‑47827. BlackLotus predstavuje predchádzajúcu a oddelenú hrozbu, špecificky viazanú na CVE‑2022‑21894 + CVE‑2023‑24932, preto sa medzi najnovšími vývojmi priamo neuvádza.
- Napriek tomu je kritický – pretože jeho škodlivé použitie týchto exploitov už bolo potvrdené „v teréne“ welivesecurity.com+1media.defense.gov+1welivesecurity.com+6techspot.com+6learn.microsoft.com+6.
🔗 Relevantné zdroje z TechSpot
- BlackLotus UEFI bootkit can defeat Secure Boot protection
elevenforum.com+14techspot.com+14support.microsoft.com+14 - Microsoft explains how to detect a BlackLotus UEFI bootkit infection
techspot.com+1techspot.com+1 - BlackLotus UEFI bootkit source code leak
techspot.com