目前還不清楚為什么美國國家安全局發(fā)布了針對軟件啟動威脅的深入緩解指南，但組織應該采取措施加強他們的環(huán)境。

美國國家安全局(NSA)敦促系統(tǒng)管理員不僅要打補丁，還要保護Windows 10和Windows 11電腦免受BlackLotus引導工具包惡意軟件的侵害。

去年秋天，黑蓮花在暗網(wǎng)上以5000美元的價格出售，引起了人們的關注。它是第一個成功繞過微軟統(tǒng)一可擴展固件接口(UEFI)安全啟動保護的惡意軟件。

UEFI是負責啟動程序的固件，因此它在操作系統(tǒng)內(nèi)核和任何其他軟件之前加載。需要注意的是，BlackLotus是一種軟件威脅，而不是固件威脅。

它利用UEFI安全啟動功能中的兩個漏洞將自己插入UEFI啟動的軟件啟動過程的最早階段:CVE-2022-21894，又名Baton Drop, CVSS評分4.4;CVE-2023-24932, CVSS評分6.7。微軟分別在2022年1月和2023年5月修補了這些漏洞。

但該國最高技術情報部門警告說，應用可用的Windows 10和Windows 11補丁只是良好的第一步。

根據(jù)美國國家安全局發(fā)布的BlackLotus緩解指南(PDF)顯示，補丁并沒有通過安全引導拒絕列表數(shù)據(jù)庫(DBX)撤銷對未打補丁的引導加載程序的信任。管理員不應認為該威脅已完全修復，因為易受Baton Drop攻擊的引導加載程序仍然受到安全引導的信任。

這意味著惡意行為者可以簡單地用合法但易受攻擊的版本替換完全修補的引導加載程序，以便在受損的端點上執(zhí)行BlackLotus。

微軟計劃在2024年初發(fā)布一個更全面的修復程序來解決這個問題，但在此之前，NSA建議基礎設施所有者采取額外的措施來強化他們的系統(tǒng)，例如收緊用戶可執(zhí)行策略，并監(jiān)控引導分區(qū)的完整性。一種可選的高級緩解措施是通過向所有Windows端點添加DBX記錄來自定義安全引導策略。

美國國家安全局平臺安全分析師Zachary Blum在報告中表示:“保護系統(tǒng)免受黑蓮花攻擊不是一個簡單的解決方案?！?/p>

Viakoo實驗室副總裁約翰?加拉格爾指出，的確這份報告提供了廣泛的強化建議，但全面實施NSA的指導方針本身就是一個過程。

鑒于美國國家安全局指南的手工性質(zhì)，許多組織將發(fā)現(xiàn)他們沒有完全修復這一漏洞所需的資源。在微軟提供一個更完整的解決方案之前，還應該使用網(wǎng)絡訪問控制和流量分析等其他措施。