Các nhà nghiên cứu NSG650 và Pdawg đã công bố PoC của UEFI bootkit khai thác một chức năng firmware quan trọng để xâm nhập vào kernel của Windows trong quá trình khởi động.
Bootkits được thiết kế để lây nhiễm vào hệ thống ngay từ giai đoạn khởi động đầu tiên, thường là trước khi kernel được tải. Chúng lợi dụng UEFI Runtime Services để duy trì sự hiện diện và thao tác với các thành phần hệ thống. Bằng cách can thiệp vào chức năng ExitBootServices, bootkit giành quyền kiểm soát hệ thống trước khi hệ điều hành bắt đầu hoạt động.
Sau khi chiếm được địa chỉ cơ sở của kernel, bootkit sẽ nhắm vào chức năng IoInitSystem, đảm bảo mã độc được thực thi và cho phép thao tác sâu hơn với kernel. Phần mềm độc hại này hoạt động dưới các biện pháp bảo vệ diệt virus truyền thống và có khả năng duy trì qua các lần khởi động lại.
Các tổ chức cần đảm bảo cài đặt khởi động an toàn và cập nhật firmware thường xuyên để bảo vệ hệ thống. Hiện tại, mã PoC đã được công bố trên Github.
