Уязвимость CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Описание проблемы
Компании Microsoft известно о публично доступном эксплойте для обхода Secure Boot, позволяющем злоумышленникам выполнять самоподписанный код на уровне унифицированного расширяемого интерфейса микропрограммного обеспечения (UEFI) при включенной Secure Boot. Для защиты от этой атаки менеджер загрузки Windows будет обновлен для устранения уязвимостей безопасности, а политики отзыва менеджера загрузки (revocations) предоставляются для предотвращения запуска предыдущих, уязвимых менеджеров загрузки после обновления системы.
Компания Microsoft объявила о выпуске публичной KB-статьи, в которой описана защита от публичного раскрытия обхода функции безопасности Secure Boot с помощью буткита BlackLotus UEFI, отслеживаемого по CVE-2023-24932. В статье приведены меры защиты и рекомендации по обновлению загрузочных носителей. Буткит - это вредоносная программа, предназначенная для загрузки как можно раньше в последовательности устройства, чтобы контролировать запуск операционной системы.
Чтобы описанный выше эксплойт BlackLotus UEFI bootkit стал возможным, злоумышленник должен получить административные привилегии на устройстве или физический доступ к нему. Это может быть сделано путем физического или удаленного доступа к устройству, например, с помощью гипервизора для доступа к виртуальным машинам/облаку. Злоумышленник обычно использует эту уязвимость для продолжения контроля над устройством, к которому он уже имеет доступ и, возможно, манипулирует им.
Microsoft предоставляет обновление безопасности и параметры конфигурации для ручного включения защиты от обхода Secure Boot 9 мая 2023 года (внутреннее название патча 5B), но эти средства защиты не включаются автоматически. Перед включением этих средств защиты убедитесь, что устройства и все загрузочные носители обновлены и готовы к этому изменению в системе безопасности.
Для получения дополнительной информации обратитесь к статье Microsoft KB: 5025885: (Примечание: меры по устранению последствий в статье KB являются превентивными, а не корректирующими.
Коренная причина
Secure Boot обеспечивает безопасный и надежный путь от UEFI через последовательность Trusted Boot ядра Windows, что помогает предотвратить появление вредоносных программ-буткитов в последовательности загрузки. Отключение Secure Boot подвергает устройство риску заражения вредоносным ПО bootkit. Устранение обхода Secure Boot, описанного в CVE-2023-24932, требует отзыва менеджеров загрузки. Это может вызвать проблемы с конфигурацией загрузки некоторых устройств.
Диапазон воздействия проблемы
Обратитесь к публичному объявлению от Microsoft KB: 5025885
Данная проблема затрагивает все устройства Windows с включенной защитой Secure Boot, как физические устройства в помещениях, так и некоторые виртуальные машины (VM) или облачные устройства. Защита доступна для поддерживаемых версий Windows. Полный список см. в CVE-2023-24932.
Linux также затронут этой проблемой. Microsoft координирует свои действия с представителями основных дистрибутивов Linux, чтобы сделать исправление доступным для их операционных систем. Вы должны обратиться в службу поддержки дистрибутива Linux для получения рекомендаций по устранению этой проблемы для ваших устройств Linux.
Разрешение
Acer тесно сотрудничает с Microsoft для смягчения последствий для пользователей и устройств и будет предоставлять дополнительную информацию и обновления по мере их поступления.
