保卫您的系统：抵御 BlackLotus UEFI 启动病毒的建议

关键要点

美国国家安全局（NSA）正在敦促各组织加强系统防护，抵御，并警告称有关其威胁的“显著混淆”及“虚假的安全感”。

BlackLotus 最早在去年十月被发现，拥有强大的功能，包括禁用 Windows Defender、BitLocker 和受 Hypervisor保护的代码完整性。该恶意软件还可以感染启用的 Windows机器，利用了一个已知的漏洞（），名为
Baton Drop。

Microsoft 在上个月解决了额外的 Baton Drop漏洞（），作为

发布了更新。但虽然新补丁提供了手动启用防护的选项，但这些防护并没有被自动启用。，系统管理员需要确保所有设备和可启动媒体已更新并准备好补丁，然后再启用新防护。

在周四发布的
（PDF）中，NSA表示，对 BlackLotus 的混淆导致一些组织认为其是不可阻挡、无法修补的威胁，而另一些组织则因为已应用 Microsoft发布的两个补丁而认为自己是安全的。

通报中提到：“风险出现在两个极端之间。”

“NSA 认为，目前发布的补丁可能会为一些基础设施提供虚假的安全感。由于 BlackLotus 将 Shim 和 GRUB 集成到其植入例程中，因此
Linux 管理员也应对影响流行 Linux 发行版的变种保持警惕。”

BlackLotus 通过利用旧版启动引导程序或启动管理器中的漏洞，针对 Windows 启动，以引发一系列恶意行为，从而破坏终端安全。它利用了 BatonDrop 漏洞来剥离安全启动策略，并防止其强制执行。

BlackLotus 与共享某些特性。不同于 Boot Hole，BlackLotus主要针对尚未被添加到安全启动拒绝列表数据库（DBX）撤销列表中的易受攻击的启动引导程序。

NSA 表示：“由于易受攻击的启动引导程序未列入 DBX，攻击者可以用易受攻击的版本替换完全修补的启动引导程序，以执行 BlackLotus。”

“管理员不应认为威胁完全解除，因为易受 Baton Drop 影响的启动引导程序仍然被安全启动信任。”

因此，利用 Baton Drop 的恶意行为者可绕过安全启动并危及设备安全。

NSA 的平台安全分析师 Zachary Blum 表示