Microsoft emite correção opcional para inicialização segura zero

Jun 29, 2023

A Microsoft lançou atualizações de segurança para resolver uma vulnerabilidade de dia zero de inicialização segura explorada pelo malware BlackLotus UEFI para infectar sistemas Windows totalmente corrigidos.

Secure Boot é um recurso de segurança que bloqueia bootloaders não confiáveis ​​​​pelo OEM em computadores com firmware Unified Extensible Firmware Interface (UEFI) e um chip Trusted Platform Module (TPM) para evitar que rootkits sejam carregados durante o processo de inicialização.

De acordo com uma postagem no blog do Microsoft Security Response Center, a falha de segurança (rastreada como CVE-2023-24932) foi usada para contornar patches lançados para CVE-2022-21894, outro bug de inicialização segura abusado em ataques BlackLotus no ano passado.

“Para proteger contra este ataque, uma correção para o gerenciador de inicialização do Windows (CVE-2023-24932) está incluída no lançamento da atualização de segurança de 9 de maio de 2023, mas desabilitada por padrão e não fornecerá proteções”, disse a empresa.

“Esta vulnerabilidade permite que um invasor execute código autoassinado no nível Unified Extensible Firmware Interface (UEFI) enquanto a inicialização segura está habilitada.

“Isso é usado pelos atores da ameaça principalmente como um mecanismo de persistência e evasão de defesa. A exploração bem-sucedida depende do fato de o invasor ter acesso físico ou privilégios de administrador local no dispositivo alvo.”

Todos os sistemas Windows onde as proteções de inicialização segura estão habilitadas são afetados por essa falha, incluindo máquinas locais, virtuais e dispositivos baseados em nuvem.

No entanto, os patches de segurança CVE-2023-24932 lançados hoje estão disponíveis apenas para versões suportadas do Windows 10, Windows 11 e Windows Server.

Para determinar se as proteções de inicialização segura estão habilitadas em seu sistema, você pode executar o comando msinfo32 em um prompt de comando do Windows para abrir o aplicativo Informações do sistema.

A inicialização segura será ativada se você vir uma mensagem "Estado de inicialização segura ativado" no lado esquerdo da janela após selecionar "Resumo do sistema".

Embora as atualizações de segurança lançadas hoje por Redmond contenham uma correção do gerenciador de inicialização do Windows, elas são desabilitadas por padrão e não removerão o vetor de ataque explorado nos ataques BlackLotus.

Para defender seus dispositivos Windows, os clientes devem passar por um procedimento que exige várias etapas manuais “para atualizar a mídia inicializável e aplicar revogações antes de ativar esta atualização”.

Para ativar manualmente as proteções para o bug de desvio do Secure Boot CVE-2023-24932, você deve seguir as seguintes etapas nesta ordem exata (caso contrário, o sistema não inicializará mais):

A Microsoft também está adotando uma abordagem em fases para aplicar as proteções que abordam essa falha de segurança para reduzir o impacto no cliente devido à ativação das proteções CVE-2023-24932.

O cronograma de implementação inclui três fases:

A Microsoft também alertou os clientes que não há como reverter as alterações depois que as mitigações CVE-2023-24932 forem totalmente implementadas.

“Depois que a mitigação para este problema for habilitada em um dispositivo, o que significa que as revogações foram aplicadas, ela não poderá ser revertida se você continuar a usar o Secure Boot nesse dispositivo”, disse a Microsoft.

"Mesmo a reformatação do disco não removerá as revogações se elas já tiverem sido aplicadas."

Atualização: título revisado para explicar que esta é uma correção opcional.

Código-fonte do malware BlackLotus Windows UEFI vazou no GitHub

Novo malware worm P2PInfect tem como alvo servidores Linux e Windows Redis

CISA ordena que agências governamentais mitiguem o dia zero do Windows e do Office

Patch de terça-feira de julho de 2023 da Microsoft alerta sobre 6 dias zero, 132 falhas

Apple corrige dia zero usado para implantar spyware de triangulação via iMessage