Компанія Microsoft продовжує боротися з UEFI-буткітом BlackLotus і випустила PowerShell-скрипт, який допоможе користувачам Windows оновити завантажувальні носії, щоб ті використовували новий сертифікат Windows UEFI CA 2023.

Нагадаємо, що вперше BlackLotus потрапив у поле зору ІБ-фахівців у жовтні 2022 року. Тоді його продавець стверджував, що буткіт оснащений вбудованим обходом Secure Boot, вбудованим захистом від видалення на рівні Ring0/Ядра, а також працює в режимі відновлення і в безпечному режимі. Повідомлялося, що шахрайство оснащене антивіртуалізацією, антиналагодженням і обфускацією, що ускладнює його виявлення та аналіз.

Також, згідно із заявами продавця, захисне ПЗ не може виявити і знищити буткіт, оскільки той запускається під обліковим записом SYSTEM всередині легітимного процесу. Крім цього BlackLotus здатний відключати захисні механізми на цільових машинах, зокрема Hypervisor-Protected Code Integrity (HVCI) і Windows Defender, а також обходити User Account Control (UAC).

Тепер розробники Microsoft випустили PowerShell-скрипт, який допоможе оновити завантажувальний носій таким чином, щоб той використовував сертифікат Windows UEFI CA 2023.

Скрипт уже доступний для завантаження на сайті Microsoft і може використовуватися для оновлення завантажувальних носіїв, включно з образами ISO для CD і DVD, флеш-накопичувачами USB, локальними або мережевими дисками.

Після запуску скрипт оновить медіафайли для використання сертифіката Windows UEFI CA 2023 і встановить менеджери завантаження, підписані цим сертифікатом.