Microsoft legt in een blogpost in detail uit hoe eventuele slachtoffers van een cyberaanval via de reeds erkende BlackLotus-exploit (CVE-2022-21894) kunnen opsporen of misbruik van de exploit op het systeem heeft plaatsgevonden. In dezelfde post legt het bedrijf uit hoe men zich kan weren tegen de uefi-malware.
De BlackLotus-exploit gaf cybercriminelen toegang tot het uefi-bootproces, nog voordat het besturingssysteem opgestart werd. Daarom is de betreffende kwetsbaarheid zeer lastig te detecteren, ook wanneer er een uitbuiting van de kwetsbaarheid heeft plaatsgevonden. Desalniettemin zouden er volgens Microsoft aanwijzingen kunnen zijn, waaronder recentelijk gecreëerde boatloaderbestanden, aanpassingen aan de registry key en bepaalde bootconfiguratie-logentries die werden aangemaakt.
Mocht er inderdaad een infectie met BlackLotus gedetecteerd worden, dan raadt Microsoft niet geheel verrassend aan om het betreffende systeem uit het netwerk te verwijderen en te reformatteren of van een schone back-up te voorzien. Ook wat preventie betreft is de hoofdzakelijke tip veelal doorgaans bij IT'ers bekend, namelijk het hanteren van 'privilegehygiëne' door het beperken van de toegang die een (admin)account heeft tot het algehele systeem.
Bronnen: Microsoft, via Bleeping Computer
