Podatność CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Opis problemu
Microsoft jest świadomy publicznie dostępnego exploita na obejście Secure Boot, umożliwiającego atakującym wykonanie samopodpisanego kodu na poziomie Unified Extensible Firmware Interface (UEFI), gdy Secure Boot jest włączony. Aby zabezpieczyć się przed tym atakiem, menedżer rozruchu Windows zostanie zaktualizowany w celu usunięcia luk w zabezpieczeniach, a zasady odwołania menedżera rozruchu (odwołania) zostaną udostępnione, aby uniemożliwić uruchomienie poprzednich, podatnych na ataki menedżerów rozruchu po aktualizacji systemu.
Microsoft ogłosił publiczny artykuł KB, który opisuje ochronę przed publicznym ujawnieniem obejścia funkcji bezpieczeństwa Secure Boot przy użyciu bootkita BlackLotus UEFI śledzonego przez CVE-2023-24932, artykuł zawiera zabezpieczenia i wskazówki dotyczące aktualizacji nośnika startowego. Bootkit to złośliwy program, który ma na celu załadowanie się jak najwcześniej w sekwencji urządzenia, aby kontrolować uruchamianie systemu operacyjnego.
Aby opisany powyżej exploit BlackLotus UEFI bootkit był możliwy, atakujący musi uzyskać uprawnienia administracyjne na urządzeniu lub uzyskać fizyczny dostęp do urządzenia. Można to zrobić, uzyskując dostęp do urządzenia fizycznie lub zdalnie, na przykład za pomocą hiperwizora w celu uzyskania dostępu do maszyn wirtualnych / chmury. Atakujący zwykle wykorzystuje tę lukę, aby nadal kontrolować urządzenie, do którego ma już dostęp i może nim manipulować.
Microsoft udostępnia aktualizację zabezpieczeń i opcje konfiguracji, aby ręcznie włączyć zabezpieczenia przed obejściem Secure Boot 9 maja 2023 r. (wewnętrznie nazywane łatką 5B), ale zabezpieczenia te nie są włączane automatycznie. Przed włączeniem tych zabezpieczeń należy upewnić się, że urządzenia i wszystkie nośniki startowe są zaktualizowane i gotowe na tę zmianę zabezpieczeń.
Aby uzyskać więcej informacji, zapoznaj się z KB firmy Microsoft: 5025885: (Uwaga: środki zaradcze w artykule KB mają charakter zapobiegawczy, a nie naprawczy).
Przyczyna źródłowa
Secure Boot tworzy bezpieczną i zaufaną ścieżkę z UEFI przez sekwencję Trusted Boot jądra Windows, pomaga zapobiegać złośliwemu oprogramowaniu typu bootkit w sekwencji rozruchowej. Wyłączenie Secure Boot naraża urządzenie na ryzyko infekcji złośliwym oprogramowaniem typu bootkit. Naprawienie obejścia Secure Boot opisanego w CVE-2023-24932 wymaga odwołania menedżerów rozruchu. Może to spowodować problemy z konfiguracjami rozruchowymi niektórych urządzeń.
Problem Zakres wpływu
Zapoznaj się z publicznym ogłoszeniem od Microsoft KB: 5025885
Problem ten dotyczy wszystkich urządzeń Windows z włączonymi zabezpieczeniami Secure Boot, zarówno lokalnych urządzeń fizycznych, jak i niektórych maszyn wirtualnych lub urządzeń opartych na chmurze. Zabezpieczenia są dostępne dla obsługiwanych wersji Windows. Pełna lista znajduje się na stronie CVE-2023-24932.
Problem dotyczy również systemu Linux. Microsoft współpracuje z przedstawicielami głównych dystrybucji Linuksa, aby udostępnić poprawkę dla ich systemów operacyjnych. Należy skontaktować się z pomocą techniczną dla danej dystrybucji systemu Linux, aby uzyskać wskazówki dotyczące złagodzenia tego problemu na urządzeniach z systemem Linux.
Rozdzielczość
Acer ściśle współpracuje z firmą Microsoft w celu złagodzenia wpływu na użytkowników i urządzenia oraz będzie dostarczać dodatkowe informacje i aktualizacje, gdy tylko będą one dostępne.
