Vulnerabilità CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Descrizione del problema
Microsoft è a conoscenza di un exploit pubblicamente disponibile per il bypass del Secure Boot che consente agli aggressori di eseguire codice autofirmato a livello di Unified Extensible Firmware Interface (UEFI) quando il Secure Boot è abilitato. Per proteggersi da questo attacco, il boot manager Windows verrà aggiornato per risolvere le vulnerabilità di sicurezza e verranno forniti criteri di revoca del boot manager (revoche) per impedire l'esecuzione dei precedenti boot manager vulnerabili dopo l'aggiornamento del sistema.
Microsoft ha annunciato un articolo KB pubblico che descrive la protezione contro la divulgazione pubblica di un bypass della funzione di sicurezza Secure Boot utilizzando il bootkit BlackLotus UEFI tracciato da CVE-2023-24932; l'articolo ha fornito le protezioni e le indicazioni per aggiornare i supporti avviabili. Un bootkit è un programma dannoso progettato per caricarsi il più presto possibile nella sequenza di un dispositivo, al fine di controllare l'avvio del sistema operativo.
Affinché l'exploit del bootkit UEFI di BlackLotus descritto sopra sia possibile, un utente malintenzionato deve ottenere i privilegi amministrativi su un dispositivo o accedere fisicamente al dispositivo. Ciò può avvenire accedendo al dispositivo fisicamente o da remoto, ad esempio utilizzando un hypervisor per accedere a macchine virtuali/cloud. Un utente malintenzionato userà questa vulnerabilità per continuare a controllare un dispositivo a cui può già accedere ed eventualmente manipolare.
Microsoft fornisce l'aggiornamento di sicurezza e le opzioni di configurazione per abilitare manualmente le protezioni per il bypass del Secure Boot il 9 maggio 2023 (internamente chiamato patch 5B), ma queste protezioni non sono abilitate automaticamente. Prima di abilitare queste protezioni, assicuratevi che i dispositivi e tutti i supporti di avvio siano aggiornati e pronti per questo cambiamento di sicurezza.
Per ulteriori informazioni, consultare la KB 5025885 di Microsoft (Nota: le mitigazioni contenute nell'articolo della KB sono preventive e non correttive).
Causa principale
Secure Boot crea un percorso sicuro e affidabile dall'UEFI attraverso la sequenza Trusted Boot del kernel Windows e aiuta a prevenire il malware bootkit nella sequenza di avvio. Disattivando Secure Boot, il dispositivo rischia di essere infettato da un malware bootkit. La correzione del bypass di Secure Boot descritto in CVE-2023-24932 richiede la revoca dei gestori di avvio. Ciò potrebbe causare problemi alle configurazioni di avvio di alcuni dispositivi.
Problema Gamma d'impatto
Consultare l'annuncio pubblico di Microsoft KB: 5025885
Tutti i dispositivi Windows con protezioni Secure Boot abilitate sono interessati da questo problema, sia i dispositivi fisici on-premises che alcune macchine virtuali (VM) o dispositivi basati su cloud. Le protezioni sono disponibili per le versioni supportate di Windows. Per l'elenco completo, consultare CVE-2023-24932.
Anche Linux è interessato da questo problema. Microsoft si è coordinata con i rappresentanti delle principali distribuzioni Linux per rendere disponibile la correzione per i loro sistemi operativi. È necessario contattare l'assistenza della propria distribuzione Linux per ottenere indicazioni su come mitigare questo problema per i propri dispositivi Linux.
Risoluzione
Acer sta lavorando a stretto contatto con Microsoft per ridurre l'impatto sugli utenti e sui dispositivi e fornirà ulteriori informazioni e aggiornamenti non appena saranno disponibili.
