Microsoft выпускает дополнительное исправление для нулевой безопасной загрузки

Jun 29, 2023

Microsoft выпустила обновления безопасности для устранения уязвимости нулевого дня Secure Boot, используемой вредоносным ПО BlackLotus UEFI для заражения полностью исправленных систем Windows.

Безопасная загрузка — это функция безопасности, которая блокирует загрузчики, которым не доверяет OEM-производитель, на компьютерах с прошивкой Unified Extensible Firmware Interface (UEFI) и микросхемой Trusted Platform Module (TPM), чтобы предотвратить загрузку руткитов во время процесса запуска.

Согласно сообщению в блоге Microsoft Security Response Center, уязвимость безопасности (отслеженная как CVE-2023-24932) использовалась для обхода исправлений, выпущенных для CVE-2022-21894, еще одной ошибки безопасной загрузки, использованной в атаках BlackLotus в прошлом году.

«Для защиты от этой атаки исправление для диспетчера загрузки Windows (CVE-2023-24932) включено в выпуск обновления безопасности от 9 мая 2023 года, но отключено по умолчанию и не обеспечивает защиты», — заявили в компании.

«Эта уязвимость позволяет злоумышленнику выполнить самозаверяющий код на уровне Unified Extensible Firmware Interface (UEFI) при включенной безопасной загрузке.

«Это используется злоумышленниками в первую очередь как механизм сохранения и защиты. Успешная эксплуатация зависит от наличия у злоумышленника физического доступа или прав локального администратора на целевом устройстве».

Этой уязвимости подвержены все системы Windows, в которых включена защита безопасной загрузки, включая локальные, виртуальные машины и облачные устройства.

Однако выпущенные сегодня исправления безопасности CVE-2023-24932 доступны только для поддерживаемых версий Windows 10, Windows 11 и Windows Server.

Чтобы определить, включена ли в вашей системе защита безопасной загрузки, вы можете запустить команду msinfo32 из командной строки Windows, чтобы открыть приложение «Информация о системе».

Безопасная загрузка включается, если вы видите сообщение «Состояние безопасной загрузки включено» в левой части окна после выбора «Сводка системы».

Хотя обновления безопасности, выпущенные сегодня Redmond, содержат исправление диспетчера загрузки Windows, они отключены по умолчанию и не удаляют вектор атаки, используемый в атаках BlackLotus.

Чтобы защитить свои устройства с Windows, клиенты должны пройти процедуру, требующую выполнения нескольких ручных действий, «чтобы обновить загрузочный носитель и применить отзыв перед включением этого обновления».

Чтобы вручную включить защиту от ошибки обхода Secure Boot CVE-2023-24932, вам необходимо выполнить следующие шаги именно в этом порядке (в противном случае система больше не будет загружаться):

Microsoft также применяет поэтапный подход к усилению защиты, устраняющей этот недостаток безопасности, чтобы уменьшить влияние на клиентов благодаря включению защиты CVE-2023-24932.

График внедрения включает в себя три этапа:

Microsoft также предупредила клиентов, что невозможно отменить изменения после полного развертывания средств защиты от CVE-2023-24932.

«После того, как на устройстве включено устранение этой проблемы, то есть отзыв был применен, его нельзя будет отменить, если вы продолжите использовать безопасную загрузку на этом устройстве», — заявили в Microsoft.

«Даже переформатирование диска не удалит отзыв, если он уже был применен».

Обновление: изменен заголовок, поясняющий, что это необязательное исправление.

Исходный код вредоносного ПО BlackLotus для Windows UEFI попал на GitHub

Новый вредоносный червь P2PInfect нацелен на серверы Linux и Windows Redis

CISA поручает правительственным агентствам смягчить последствия нулевых дней в Windows и Office

Вторник обновлений Microsoft за июль 2023 г. предупреждает о 6 нулевых днях и 132 уязвимостях

Apple исправляет «нулевой день», используемый для развертывания шпионского ПО Triangulation через iMessage