WeLiveSecurity di ESET ha aggiornato le informazioni sul bootkit chiamato "BlackLotus" che si sta diffondendo dalla fine dell'estate 2022.Per prima cosa devi sapere cos'è un "bootkit", e non è difficile da capire, poi renditi conto che si tratta di un problema serio: il malware si installa nel settore di avvio del disco rigido in modo che sia difficile da rimuovere e rilevare.Ciò che rende "BlackLotus" estremamente pericoloso per gli utenti Windows, comprese le macchine Windows 11 aggiornate al 100%, è che scherza con la tecnologia "Secure Boot" basata su UEFI.Il motivo è che l'industria non ha alcun controllo sulla sicurezza UEFI:Negli ultimi anni sono state scoperte molte vulnerabilità critiche che incidono sulla sicurezza dei sistemi UEFI.Sfortunatamente, a causa della complessità dell'ecosistema UEFI e dei relativi problemi della catena di approvvigionamento, molte di queste vulnerabilità hanno reso vulnerabili molti sistemi anche molto tempo dopo che le vulnerabilità sono state risolte, o almeno dopo che ci è stato detto che erano state risolte.Inoltre, disabilita "Hypervisor-protected Code Integrity" (HVCI) che fa parte del sistema "Virtualization-based Security" (VBS).E, come se non bastasse, mette fine a Windows Defender, che ora viene installato automaticamente con Microsoft 365.Quindi qual è l'obiettivo finale?Sì, il Trojan vuole eliminare tutti i meccanismi di difesa per scaricare file malware tramite il protocollo HTTP.Se gli autori possono farlo, possono fare quello che vogliono con le macchine infette.Come abbiamo citato Welivesecurity nella prima parte dell'articolo, questi problemi persistono perché la panoramica UEFI che dovrebbe bloccare il codice pericoloso non viene aggiornata abbastanza frequentemente.ESET/Welivesecurity ritiene che la soluzione, almeno su Windows, sia distribuire gli aggiornamenti dbx (che Microsoft definisce un database "Secure Boot Forbidden Signature") tramite Windows Update.