几天前，微软通过七月补丁星期二推出了针对BlackLotus Secure Boot漏洞的第二阶段加固。Windows11和Windows10的安全操作系统动态更新都已跟进，以解决该问题，问题最严重的第一阶段大约发生在四个月前的2023年3月。

参看源码：

https://github.com/ldpreload/BlackLotus

BlackLotus因其能够绕过各种Windows安全措施而臭名昭著，如Secure Boot（从操作系统开始引导阶段，系统就变得不安全），以及Microsoft Defender、基于虚拟化的安全（VBS）或HVCI（Hypervisor-Protected Code Integrity）、BitLocker和UAC（用户帐户控制），甚至在当时已打补丁的Windows系统上也是如此。

与此同时，BlackLotus的源代码也几乎在同一时间泄露。它由用户Yukari上传到GitHub，Yukari删除了恶意软件开发者最初使用的Baton Drop漏洞（CVE-2022-21894）。

安全研究公司Binarly的首席执行官兼联合创始人Alex Matrosov对漏洞的泄露表示担忧，并向Neowin提供了以下声明，解释了潜在的影响：

泄露的源代码并不完整，主要包含rootkit部分和绕过安全启动的bootkit代码。这些技巧和技术大多是多年前就已知晓的，不会造成重大影响。然而，像BlackLotus活动那样将它们与新漏洞结合起来的可能性出乎业内人士的意料，并显示了当前操作系统下的缓解措施的真正局限性。

BlackLotus的泄密事件表明，旧的rootkit和bootkit技巧与新的安全启动绕过漏洞相结合，仍然可以非常有效地蒙蔽许多现代端点安全解决方案。总的来说，它显示了微软端供应链的复杂性，其修复更多的是语法性的，并没有缓解操作系统下面的整个相关问题。而且要明确的是，BlackLotus采用的是已经公开的BatonDrop漏洞。

即使厂商修复了与BatonDrop相关的安全启动旁路漏洞，这些漏洞也会对整个行业的供应链造成长期影响。以CVE-2022-21894为例，我们可以看到，即使厂商修复了漏洞，此类漏洞也可能在一年后在野外被利用。

企业防御者和CISO需要了解，操作系统以下的威胁是显而易见的，并对其环境构成威胁。由于这种攻击矢量对攻击者有很大好处，因此只会变得越来越复杂。供应商宣称的安全功能可能与实际情况完全相反。

由于恶意软件开发人员的工作越来越出色，业内对操作系统可靠性的担忧逐渐加深。最近，安全公司Cisco Talos称赞了RedDriver开发人员的能力，指出该驱动程序的稳定性几乎无可挑剔，因为它从未出现过一次BSOD（蓝屏死机）。