Bộ công cụ khởi động BlackLotus là phần mềm độc hại trong thế giới thực đầu tiên được biết là có thể vượt qua các biện pháp bảo vệ Secure Boot, cho phép thực thi mã độc trước khi máy tính của người dùng bắt đầu tải Windows và nhiều biện pháp bảo vệ bảo mật của nó. Secure Boot đã được bật theo mặc định trong hơn một thập kỷ trên hầu hết các máy tính Windows được bán bởi các công ty như Dell, Lenovo, HP, Acer và các hãng khác. Máy tính chạy Windows 11 phải được kích hoạt Secure Boot để đáp ứng các yêu cầu hệ thống của phần mềm.

Microsoft cho biết lỗ hổng bảo mật có thể bị kẻ tấn công khai thác bằng quyền truy cập vật lý vào hệ thống hoặc quyền quản trị viên trên hệ thống. Nó có thể ảnh hưởng đến PC vật lý và máy ảo có kích hoạt Secure Boot.

Bản vá mới này không giống như các bản vá Windows có mức độ ưu tiên cao khác, theo đó bản cập nhật sẽ bị tắt theo mặc định trong ít nhất vài tháng sau khi được cài đặt và một phần vì bản cập nhật cuối cùng sẽ khiến phương tiện khởi động Windows hiện tại không thể khởi động được. Bản vá yêu cầu các thay đổi đối với trình quản lý khởi động Windows không thể đảo ngược sau khi chúng được bật.

"Tính năng Secure Boot kiểm soát chính xác phương tiện khởi động được phép tải khi hệ điều hành được khởi chạy và nếu bản vá này không được kích hoạt đúng cách thì có khả năng gây ra sự gián đoạn và ngăn hệ thống khởi động", một trong số các bài viết hỗ trợ của Microsoft về bản cập nhật này cho biết.

Ngoài ra, khi bản vá được kích hoạt, máy tính của người dùng sẽ không thể khởi động từ phương tiện cũ hơn. Trong danh sáchcác phương tiện bị ảnh hưởng có: Windows cài đặt phương tiện như DVD và ổ USB được tạo từ các tệp ISO của Microsoft; hình ảnh cài đặt Windows tùy chỉnh được duy trì bởi bộ phận CNTT; bản sao lưu toàn bộ hệ thống; ổ đĩa khởi động mạng bao gồm những ổ đĩa được bộ phận CNTT sử dụng để khắc phục sự cố máy và triển khai hình ảnh Windows mới; ổ đĩa khởi động rút gọn sử dụng Windows PE và phương tiện khôi phục được bán cùng với PC OEM.

Microsoft sẽ phát hành bản cập nhật theo từng giai đoạn trong vài tháng tới. Phiên bản ban đầu của bản vá yêu cầu sự can thiệp đáng kể của người dùng để kích hoạt, trước tiên người dùng cần cài đặt các bản cập nhật bảo mật của tháng 5, sau đó sử dụng quy trình năm bước để áp dụng và xác minh thủ công một cặp "tệp thu hồi" cập nhật phân vùng khởi động EFI ẩn của hệ thống và registry.

Jean-Ian Boutin, giám đốc nghiên cứu mối đe dọa của ESET, đã mô tả mức độ nghiêm trọng của BlackLotus và các bootkit khác như sau: “Điểm nổi bật cuối cùng là UEFI bootkit BlackLotus có thể tự cài đặt trên các hệ thống cập nhật bằng phiên bản Windows mới nhất có kích hoạt Secure Boot. Mặc dù lỗ hổng đã cũ nhưng vẫn có thể tận dụng nó để vượt qua tất cả các biện pháp bảo mật và làm tổn hại đến quá trình khởi động của hệ thống, cho phép kẻ tấn công kiểm soát giai đoạn đầu của quá trình khởi động hệ thống. Nó cũng minh họa một xu hướng trong đó những kẻ tấn công đang tập trung vào Phân vùng hệ thống EFI (ESP) thay vì firmware cho bộ cấy của chúng”.

Bản vá này không phải là sự cố bảo mật gần đây duy nhất làm nổi bật những khó khăn trong việc vá các lỗ hổng UEFI và Secure Boot cấp thấp; nhà sản xuất máy tính và bo mạch chủ MSI gần đây cũng đã bị rò rỉ các khóa ký trong một cuộc tấn công ransomware.