password
icon
URL
type
date
summary
status
slug
tags
category
本周早些时候,微软发布了一个补丁,修复了我们在三月份报告的BlackLotus bootkit使用的一个安全启动绕过漏洞。原始漏洞CVE-2022-21894在一月份被修补,但黑客发现针对运行Windows 10和11以及Windows Server版本的另一个的绕过方法,新补丁CVE-2023-24932已经将其解决解决,但目前补丁默认不生效,这些版本追溯到Windows Server 2008。
BlackLotus bootkit是第一个已知的能够绕过安全启动保护的现实世界恶意软件,允许在计算机开始加载Windows及其众多安全保护之前执行恶意代码。自Dell、Lenovo、HP、Acer等公司销售的大多数Windows PC以来,安全启动已默认启用了十多年。运行Windows 11的PC必须启用它以满足软件的系统要求。
微软表示,攻击者可以利用漏洞来攻击系统,只要他们具有对系统的物理访问或管理员权限。它可能影响启用了安全启动的物理PC和虚拟机。
我们强调新的修复程序,部分原因是,与许多高优先级的Windows修复程序不同,此更新将在安装后至少几个月内默认禁用,部分原因是它最终将使当前的Windows启动介质不能启动。修复程序需要更改Windows引导管理器,这些更改一旦启用就无法撤消。
“安全启动功能精确控制启动媒体,即在启动操作系统时允许加载的媒体,如果此修复程序没有正确启用,则可能会导致破坏并防止系统启动,” 一篇关于更新的Microsoft支持文章中说。
此外,一旦启用修复程序,您的PC将无法从不包括修复程序的旧启动介质启动。在受影响的媒体的长列表中:Windows安装介质,如从Microsoft的ISO文件创建的DVD和USB驱动器;由IT部门维护的自定义Windows安装映像;完整的系统备份;网络启动驱动器,包括IT部门用于故障排除机器和部署新Windows映像的驱动器;使用Windows PE的精简启动驱动器;以及与OEM PC一起出售的恢复介质。
微软不想突然使任何用户的系统无法启动,因此将在接下来的几个月内分阶段推出更新。补丁的初始版本需要大量用户干预才能启用-您首先需要安装5月的安全更新,然后使用五个步骤手动应用和验证一对“吊销文件”,以更新您系统的隐藏EFI引导分区和注册表。这将使旧版本的启动加载程序不再被PC信任。
第二个更新将在7月份发布,不会默认启用补丁,但将使其更容易启用。第三个更新将在“2024年第一季度”默认启用修复程序,并使所有修复的Windows PC的旧启动介质无法启动。微软表示正在“寻找加快此时间表的机会”,尽管不清楚这将意味着什么。
Jean-Ian Boutin,ESET的威胁研究主任,在我们最初报道此事时,描述了BlackLotus和其他引导程序的严重性:
最终的结论是,UEFI引导程序BlackLotus能够在启用了安全启动的最新Windows版本上安装自己。即使漏洞很旧,仍然可以利用它来绕过所有安全措施并破坏系统的引导过程,从而使攻击者控制系统启动的早期阶段。它还说明了攻击者正在关注EFI系统分区(ESP)而不是固件,用于他们的植入物-为了更容易部署而牺牲隐蔽性,但允许类似的功能水平。
这个修复不是最近唯一一个突出显示修补低级别安全启动和UEFI漏洞的困难的安全事件;计算机和主板制造商MSI最近在勒索软件攻击中泄露了其签名密钥,而该公司没有简单的方法告诉其产品不要信任使用被攻击的密钥签名的固件更新。
- 作者:黑客驰
- 链接:https://hackerchi.top/article/cb02502e-85ef-4228-9e0a-3aa8bfdfbac0
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
