幾天前，微軟通過七月補丁星期二推出了針對BlackLotus Secure Boot漏洞的第二階段加固。Windows11和Windows10的安全操作系統動態更新都已跟進，以解決該問題，問題最嚴重的第一階段大約發生在四個月前的2023年3月。

參看源碼：

https://github.com/ldpreload/BlackLotus

BlackLotus因其能夠繞過各種Windows安全措施而臭名昭著，如Secure Boot（從操作系統開始引導階段，系統就變得不安全），以及Microsoft Defender、基於虛擬化的安全（VBS）或HVCI（Hypervisor-Protected Code Integrity）、BitLocker和UAC（用戶帳戶控制），甚至在當時已打補丁的Windows系統上也是如此。

與此同時，BlackLotus的源代碼也幾乎在同一時間洩露。它由用戶Yukari上傳到GitHub，Yukari刪除了惡意軟件開發者最初使用的Baton Drop漏洞（CVE-2022-21894）。

安全研究公司Binarly的首席執行官兼聯合創始人Alex Matrosov對漏洞的洩露表示擔憂，並向Neowin提供了以下聲明，解釋了潛在的影響：

洩露的源代碼並不完整，主要包含rootkit部分和繞過安全啟動的bootkit代碼。這些技巧和技術大多是多年前就已知曉的，不會造成重大影響。然而，像BlackLotus活動那樣將它們與新漏洞結合起來的可能性出乎業內人士的意料，並顯示了當前操作系統下的緩解措施的真正局限性。

BlackLotus的洩密事件表明，舊的rootkit和bootkit技巧與新的安全啟動繞過漏洞相結合，仍然可以非常有效地蒙蔽許多現代端點安全解決方案。總的來說，它顯示了微軟端供應鏈的複雜性，其修復更多的是語法性的，並沒有緩解操作系統下面的整個相關問題。而且要明確的是，BlackLotus採用的是已經公開的BatonDrop漏洞。

即使廠商修復了與BatonDrop相關的安全啟動旁路漏洞，這些漏洞也會對整個行業的供應鏈造成長期影響。以CVE-2022-21894為例，我們可以看到，即使廠商修復了漏洞，此類漏洞也可能在一年後在野外被利用。

企業防御者和CISO需要了解，操作系統以下的威脅是顯而易見的，並對其環境構成威脅。由於這種攻擊矢量對攻擊者有很大好處，因此只會變得越來越複雜。供應商宣稱的安全功能可能與實際情況完全相反。

由於惡意軟件開發人員的工作越來越出色，業內對操作系統可靠性的擔憂逐漸加深。最近，安全公司Cisco Talos稱讚了RedDriver開發人員的能力，指出該驅動程序的穩定性幾乎無可挑剔，因為它從未出現過一次BSOD（藍屏死機）。