Vulnerabilidade CVE
CVE-2023-24932 -https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Descrição do Problema
A Microsoft está ciente de uma exploração publicamente disponível para bypass de inicialização segura, permitindo que invasores executem código autoassinado no nível Unified Extensible Firmware Interface (UEFI) enquanto a inicialização segura está habilitada. Para proteger contra esse ataque, o gerenciador de inicialização do Windows será atualizado para lidar com as vulnerabilidades de segurança, e as políticas de revogação do gerenciador de inicialização (revogações) estão sendo fornecidas para impedir que os gerenciadores de inicialização vulneráveis anteriores sejam executados após a atualização do sistema.
A Microsoft anunciou um artigo público da KB que descreve a proteção contra a divulgação pública de um bypass do recurso de segurança Secure Boot usando o bootkit BlackLotus UEFI rastreado por CVE-2023-24932, o artigo forneceu as proteções e orientações para atualizar a mídia inicializável. Um bootkit é um programa malicioso projetado para carregar o mais cedo possível na sequência de um dispositivo, a fim de controlar o início do sistema operacional.
Para que o exploit BlackLotus UEFI bootkit descrito acima seja possível, um invasor deve obter privilégios administrativos em um dispositivo ou obter acesso físico ao dispositivo. Isso pode ser feito acessando o dispositivo fisicamente ou remotamente, como usando um hipervisor para acessar VMs/nuvem. Um invasor normalmente usará essa vulnerabilidade para continuar controlando um dispositivo que já pode acessar e possivelmente manipular.
A Microsoft fornece as opções de atualização de segurança e configuração para habilitar manualmente as proteções para o bypass de inicialização segura em 9 de maio de 2023 (denominado internamente como patch 5B), mas essas proteções não são habilitadas automaticamente. Antes de habilitar essas proteções, certifique-se de que os dispositivos e todas as mídias inicializáveis estejam atualizados e prontos para essa alteração de proteção de segurança.
Consulte o KB da Microsoft: 5025885 para obter mais informações: (Observação: as atenuações no artigo do KB são preventivas e não corretivas.
Causa raiz
Secure Boot faz um caminho seguro e confiável do UEFI através da sequência de inicialização confiável do kernel do Windows, ajudando a prevenir malware de bootkit na sequência de inicialização. Desativar o Secure Boot coloca um dispositivo em risco de ser infectado por um malware bootkit. Corrigir o desvio de inicialização segura descrito em CVE-2023-24932 requer a revogação dos gerenciadores de inicialização. Isso pode causar problemas nas configurações de inicialização de alguns dispositivos.
Intervalo de impacto do problema
Consulte o anúncio público deKB da Microsoft: 5025885
Todos os dispositivos Windows com proteções de inicialização segura habilitadas são afetados por esse problema, tanto dispositivos físicos locais quanto algumas máquinas virtuais (VMs) ou dispositivos baseados em nuvem. As proteções estão disponíveis para versões com suporte do Windows. Para obter a lista completa, consulte CVE-2023-24932.
O Linux também é afetado por esse problema. A Microsoft tem coordenado com representantes das principais distribuições Linux para disponibilizar a correção para seus sistemas operacionais. Você deve entrar em contato com o suporte da sua distribuição Linux para obter orientação sobre como atenuar esse problema em seus dispositivos Linux.
Resolução
A Acer está trabalhando em estreita colaboração com a Microsoft para mitigar o impacto nos usuários e dispositivos e fornecerá informações e atualizações adicionais assim que estiverem disponíveis.
