Vulnerabilitate CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Descrierea problemei
Microsoft este la curent cu existența unui exploit disponibil publicului pentru ocolirea Secure Boot, care permite atacatorilor să execute cod auto-semnat la nivelul Unified Extensible Firmware Interface (UEFI) în timp ce Secure Boot este activat. Pentru a se proteja împotriva acestui atac, managerul de boot Windows va fi actualizat pentru a aborda vulnerabilitățile de securitate, iar politicile de revocare a managerului de boot (revocări) sunt furnizate pentru a împiedica rularea managerilor de boot anteriori, vulnerabili, după ce sistemul a fost actualizat.
Microsoft a anunțat un articol KB public care descrie protecția împotriva dezvăluirii publice a unei ocoliri a funcției de securitate Secure Boot prin utilizarea bootkit-ului UEFI BlackLotus urmărit de CVE-2023-24932, articolul a oferit protecții și îndrumări pentru actualizarea mediilor de pornire. Un bootkit este un program rău intenționat care este conceput pentru a se încărca cât mai devreme posibil în secvența unui dispozitiv, pentru a controla pornirea sistemului de operare.
Pentru ca exploatarea BlackLotus UEFI bootkit descrisă mai sus să fie posibilă, un atacator trebuie să obțină privilegii administrative pe un dispozitiv sau să obțină acces fizic la dispozitiv. Acest lucru se poate face prin accesarea dispozitivului fizic sau de la distanță, **** ar fi prin utilizarea unui hipervizor pentru a accesa VM-uri/cloud. Un atacator va utiliza de obicei această vulnerabilitate pentru a continua să controleze un dispozitiv pe care îl poate deja accesa și eventual manipula.
Microsoft furnizează actualizarea de securitate și opțiunile de configurare pentru activarea manuală a protecțiilor pentru ocolirea Secure Boot la 9 mai 2023 (denumită intern patch 5B), dar aceste protecții nu sunt activate automat. Înainte de a activa aceste protecții, vă rugăm să vă asigurați că dispozitivele și toate mediile de bootare sunt actualizate și pregătite pentru această schimbare de întărire a securității.
Vă rugăm să consultați Microsoft KB: 5025885 pentru mai multe informații:
Notă: Atenuările din articolul KB sunt preventive și nu corective.
Cauza principală
Secure Boot creează o cale sigură și de încredere de la UEFI prin secvența Trusted Boot a nucleului Windows, ajutând la prevenirea malware-ului bootkit în secvența de pornire. Dezactivarea Secure Boot expune un dispozitiv la riscul de a fi infectat de un malware bootkit. Rezolvarea problemei de ocolire a Secure Boot descrisă în CVE-2023-24932 necesită revocarea managerilor de boot. Acest lucru ar putea cauza probleme pentru configurațiile de pornire ale unor dispozitive.
Problema Intervalul de impact
Consultați anunțul public de la Microsoft KB: 5025885
Toate dispozitivele Windows cu protecții Secure Boot activate sunt afectate de această problemă, atât dispozitivele fizice on-premises, cât și unele mașini virtuale (VM) sau dispozitive cloud-based. Protecțiile sunt disponibile pentru versiunile acceptate ale Windows. Pentru lista completă, consultați CVE-2023-24932.
Linux este, de asemenea, afectat de această problemă. Microsoft s-a coordonat cu reprezentanții principalelor distribuții Linux pentru a face soluția disponibilă pentru sistemele lor de operare. Trebuie să contactați asistența pentru distribuția dvs. Linux pentru a primi îndrumări privind atenuarea acestei probleme pentru dispozitivele dvs. Linux.
Rezoluție
Acer lucrează îndeaproape cu Microsoft pentru a reduce impactul asupra utilizatorilor și dispozitivelor și va furniza informații suplimentare și actualizări pe măsură ce acestea devin disponibile.
