微软本周释出了补丁修复了一个被 BlackLotus bootkit 利用的 Secure Boot 绕过漏洞。微软在今年 1 月释出补丁修复了编号为 CVE-2022-21894 的漏洞,但该补丁并不完整,攻击者很快找到了绕过方法。
BlackLotus bootkit 是首个已知的可绕过 Secure Boot 防御措施的真实恶意软件,它可在用户电脑开始加载 Windows 及其很多安全防御措施前,执行恶意代码。十多年来,很多企业如戴尔、惠普等销售的多数 Windows 个人电脑都默认启用 Secure Boot。运行 Windows 11 的个人电脑必须启用 Secure Boot 才能满足该软件的系统要求。
微软表示,攻击者如具有对系统的物理访问权限或管理员权限,则可利用该漏洞。该漏洞影响启用 Secure Boot 的物理个人电脑和虚拟机。
本周释出的补丁修复了新漏洞 CVE-2023-24932。微软称能物理访问系统或拥有管理员权限的攻击者可利用该漏洞。但新补丁不会默认启用,因为它涉及到修改 Windows 启动管理器,一旦更改将是无法撤销的,它会导致现有的启动媒介无法启动。
修复这个漏洞还有一个潜大的麻烦,就是:无论你是从微软官方直接下载的 ISO 镜像,还是自己制作的 USB 或 DVD 启动盘,以及企业 IT 部门所维护的 Windows 安装镜像都会失效。
为了避免导致客户的系统无法启动,补丁将会分三个阶段应用,先安装 2023-05 的更新,到 2023 年 7 月,客户可以自己手动启用该修复程序,直到 2024 年第一季度补丁才会默认启用,届时旧的启动媒介将会无法使用。
链接:https://arstechnica.com/information-technology/2023/05/microsoft-patches-secure-boot-flaw-but-wont-enable-fix-by-default-until-early-2024/
