Microsoft објави опционална поправка за Secure Boot zero-day искористена од малициозен софтвер

Microsoft објави безбедносни ажурирања со цел да се справи со Secure Boot zero-day ранливоста, искористена од страна на BlackLotus UEFI малициозен софтвер со цел да зарази целосно закрпени Windows системи.

Secure Boot е безбедносна карактеристика што ги блокира подигнувачите на кои не им верува ОЕМ на компјутери со фирмвер со Unified Extensible Firmware Interface  (UEFI) фирмвер и Trusted Platform Module (TPM) за да спречи вчитување на rootkits за време на процесот на стартување.

Според блог-објавата на Центарот за одговор за безбедност на Microsoft, безбедносниот пропуст (следен како CVE-2023-24932) бил искористен за заобиколување на закрпи објавени за CVE-2022-21894, уште една Secure Boot грешка злоупотребена во BlackLotus нападите минатата година.

„За заштита од овој напад, поправка за Windows boot manager (CVE-2023-24932) е вклучена во изданието на безбедносното ажурирање од 9 мај 2023 година, но стандардно е оневозможено и нема да обезбеди заштита“, изјавија од компанијата.

„Оваа ранливост му овозможува на напаѓачот да изврши само-потпишан код на ниво на Unified Extensible Firmware Interface (UEFI) додека Secure Boot е овозможен.

„Ова го користат напаѓачите првенствено како механизам за сила и одбранбена евазија. Успешната експлоатација се потпира на тоа дека напаѓачот има физички пристап или локални администраторски привилегии на таргетираниот уред“.

Сите Windows системи каде што е овозможена заштитата за безбедно подигање се погодени од овој пропуст, вклучително и виртуелните машини и уредите базирани на облак.

Сепак, CVE-2023-24932 безбедносните закрпи објавени денес се достапни само за поддржани верзии на Windows 10, Windows 11 и Windows Server.

За да одредите дали заштитата за безбедно подигање е овозможена на вашиот систем, можете да ја извршите msinfo32 командата од Windows командната линија за да ја отворите System Information апликацијата.

Secure Boot се вклучува ако видите порака „Secure Boot state ON“ на левата страна од прозорецот откако ќе изберете „System Summary“.

Додека безбедносните ажурирања објавени денес од страна на Redmond содржат Windows boot manager поправка, тие се стандардно оневозможени и нема да го отстранат векторот на напад искористен во BlackLotus нападите.

За да ги одбранат своите Windows уреди, клиентите мора да поминат низ процедура која бара повеќе рачни чекори „да се ажурираат bootable медиумите и да се применат отповикувања пред да се овозможи ова ажурирање“.

За рачно да овозможите заштита за Secure Boot CVE-2023-24932 грешката, треба да ги поминете следните чекори по овој точен редослед (во спротивно, системот повеќе нема да се подигне):

ИНСТАЛИРАЈТЕ ги ажурирањата од 9 мај 2023 година на сите засегнати системи.

АЖУРИРАЈТЕ го вашиот bootable медиум со Windows ажурирања објавени на или по 9 мај 2023 година. Ако не креирате сопствен медиум, ќе треба да ги добиете ажурираните официјални медиуми од Microsoft или од производителот на вашиот уред (OEM).

ПРИМЕНИ отповикувања за заштита од ранливоста во CVE-2023-24932.

Microsoft, исто така, презема фазен пристап кон спроведувањето на заштитата што го решава овој безбедносен пропуст со цел да го намали влијанието на клиентите поради овозможувањето на CVE-2023-24932 заштитата.

Rollout временската рамка вклучува три фази:

9 мај 2023 година: Објавена е првична поправка за CVE-2023-24932. Во ова издание, оваа поправка бара Windows Security Update од 9 мај 2023 година и дополнителни активности на клиентите за целосно спроведување на заштитата.

11 јули 2023 година: Второто издание ќе обезбеди дополнителни опции за ажурирање за да се поедностави распоредувањето на заштитата.

Прв квартал 2024: Ова последно издание ќе овозможи стандардна поправка на CVE-2023-24932 и ќе изврши отповикување на bootmanager на сите Windows уреди.

Microsoft, исто така, ги предупреди клиентите дека нема начин да ги вратат промените откако ќе бидат целосно распоредени CVE-2023-24932 ублажувањата.

„Штом ублажувањето за овој проблем е овозможено на уред, што значи дека отповикувањата се применети, не може да се врати ако продолжите да го користите Secure Boot на тој уред“, изјави Microsoft.

„Дури и реформатирањето на дискот нема да ги отстрани отповикувањата доколку тие веќе се применети“.

Извор: BleepingComputer

Check Also

Нов крадец на информации за Snake базиран на Python се шири преку пораки на Faceebook

Пораките на Facebook се користат од страна на актери за закана за крадец на информации …