Ранее на этой неделе Microsoft выпустила патч для исправления уязвимости Secure Boot, используемой буткитом BlackLotus, о котором мы сообщали в марте. Первоначальная уязвимость CVE-2022-21894 была исправлена в январе. Новый патч безопасности CVE-2023-24932 устраняет другой активно используемый злоумышленниками обходной путь для систем под управлением Windows 10/11 и версий Windows Server, начиная с Windows Server 2008.

Источник изображения: pixabay

Буткит BlackLotus — это вредоносное ПО, которое способно обходить средства защиты Secure Boot, позволяя выполнять вредоносный код до того, как компьютер начнёт загружать Windows и её многочисленные средства защиты. Безопасная загрузка уже более десяти лет включена по умолчанию на большинстве ПК с Windows, продаваемых такими компаниями, как Dell, Lenovo, HP, Acer и другими. На компьютерах под управлением Windows 11 она должна быть включена, чтобы соответствовать системным требованиям программного обеспечения.

Microsoft заявляет, что уязвимость может быть использована злоумышленником, имеющим либо физический доступ к системе, либо права администратора. Новое исправление безопасности выделяется тем, что компьютер больше не сможет загружаться со старых загрузочных носителей, не содержащих исправления. Не желая внезапно сделать пользовательские системы незагружаемыми, Microsoft намерена выпускать обновление поэтапно в течение следующих нескольких месяцев. В июле последует второе обновление, которое не включит исправление по умолчанию, но упростит его включение. Третье обновление в первом квартале 2024 года активирует обновление безопасности по умолчанию и сделает старые загрузочные носители недоступными для загрузки на всех ПК с установленными исправлениями Windows. Microsoft говорит, что «ищет возможности ускорить этот график».

Это не единственный недавний инцидент с безопасностью, подчёркивающий трудности исправления низкоуровневых уязвимостей Secure Boot и UEFI. У компании MSI недавно произошла утечка ключей подписи в результате атаки программы-вымогателя, после чего Intel, ответственная за аппаратную защиту целостности загрузки BIOS, выпустила официальное заявление по поводу случившегося.

Представители MSI сообщили через форум на Reddit, что компания ведёт разработку обновлений прошивок для своих материнских плат, которые «починят» сломанную ранее функцию Secure Boot (безопасная загрузка), отвечающую за безопасную загрузку системы.

Источник изображений: MSI

Ранее сообщалось, что у 290 моделей материнских плат компании MSI после обновления прошивки некоторые функции Secure Boot перестали быть включены по умолчанию. В частности, параметр «Политика выполнения образов» в Secure Boot установлен на «Всегда выполнять». Из-за этого на компьютерах могут запускаться любые образы операционных систем, независимо от наличия у них цифровой подписи и её подлинности. То есть можно установить взломанную систему с вредоносным ПО. В MSI сообщили, что выпустят новые прошивки, в которых параметр «Политика выполнения образов» будет по умолчанию установлен на «Отказать в исполнении».

«MSI реализовала механизм Secure Boot на своих материнских платах следуя рекомендациям Microsoft и AMI для запуска операционной системы Windows 11. Мы по умолчанию включили функцию Secure Boot и параметр "Всегда выполнять" для удобства пользователей, чтобы обеспечить более гибкие возможности в вопросе самостоятельной сборки своих персональных компьютеров.

Пользователи, которые очень сильно беспокоятся вопросами безопасности, в настройках Secure Boot в параметре "Политика выполнения образов" могут вручную установить "Отказать в исполнении", а также использовать другие способы повышения безопасности ПК. В ответ на сообщения пользователей о вопросе безопасности предустановленных настроек BIOS компания MSI выпустит обновление прошивки для своих материнских плат, в которых по умолчанию будет включён параметр "Отказать в исполнении" при загрузке образов ОС. Компания также сохранит механизм выбора загрузки ОС в настройках Secure Boot, благодаря чему пользователи смогут изменять их согласно своим нуждам», — прокомментировала ситуацию MSI на своей официальной странице на Reddit.

Когда именно будут выпущены новые прошивки, компания не уточнила. Но, судя по всему, это случится в ближайшее время.