Lỗ hổng bảo mật CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Mô tả vấn đề
Microsoft đã phát hiện ra một lỗ hổng bảo mật có thể khai thác công khai cho phép bỏ qua tính năng Secure Boot, cho phép kẻ tấn công thực thi mã tự ký tại mức giao diện firmware mở rộng thống nhất (UEFI) ngay cả khi Secure Boot đang được kích hoạt. Để bảo vệ khỏi cuộc tấn công này, trình quản lý khởi động của Hệ điều hành Windows ( Windows ) sẽ được cập nhật để khắc phục các lỗ hổng bảo mật, và các chính sách thu hồi trình quản lý khởi động (revocations) đang được cung cấp để ngăn chặn các trình quản lý khởi động cũ, dễ bị tấn công, tiếp tục hoạt động sau khi hệ thống đã được cập nhật.
Microsoft đã công bố một bài viết KB công khai mô tả biện pháp bảo vệ chống lại việc tiết lộ công khai tính năng bảo mật Secure Boot bị vượt qua bằng cách sử dụng bộ công cụ khởi động UEFI BlackLotus được theo dõi bởi CVE-2023-24932. Bài viết này cung cấp các biện pháp bảo vệ và hướng dẫn để cập nhật phương tiện khởi động. Bộ công cụ khởi động (bootkit) là một chương trình độc hại được thiết kế để tải càng sớm càng tốt trong chuỗi khởi động của thiết bị, nhằm kiểm soát quá trình khởi động hệ điều hành.
Để khai thác lỗ hổng BlackLotus UEFI bootkit được mô tả ở trên có thể thực hiện được, kẻ tấn công phải có quyền truy cập quản trị trên thiết bị hoặc có quyền truy cập vật lý vào thiết bị. Điều này có thể được thực hiện bằng cách truy cập thiết bị một cách vật lý hoặc từ xa, chẳng hạn như sử dụng hypervisor để truy cập vào các máy ảo (VM) hoặc đám mây. Kẻ tấn công thường sẽ tận dụng lỗ hổng này để tiếp tục kiểm soát thiết bị mà họ đã có thể truy cập và có thể thao túng.
Microsoft cung cấp bản cập nhật bảo mật và các tùy chọn cấu hình để kích hoạt thủ công các biện pháp bảo vệ cho việc bỏ qua Secure Boot vào ngày 9 tháng 5 năm 2023 (được gọi nội bộ là bản vá 5B), nhưng các biện pháp bảo vệ này không được kích hoạt tự động. Trước khi kích hoạt các biện pháp bảo vệ này, vui lòng đảm bảo rằng các thiết bị và tất cả các phương tiện khởi động đã được cập nhật và sẵn sàng cho thay đổi tăng cường bảo mật này.
Vui lòng tham khảo Bài viết kiến thức của Microsoft: 5025885 Để biết thêm thông tin:
Lưu ý: Các biện pháp giảm thiểu trong bài viết KB là phòng ngừa chứ không phải khắc phục.
Nguyên nhân gốc rễ
Chế độ Khởi động An toàn (Secure Boot) tạo ra một đường dẫn an toàn và đáng tin cậy từ UEFI qua trình quản lý khởi động ( Windows ) đến trình tự Khởi động Đáng tin cậy (Trusted Boot) của kernel, giúp ngăn chặn phần mềm độc hại bootkit trong trình tự khởi động. Việc vô hiệu hóa Chế độ Khởi động An toàn (Secure Boot) sẽ khiến thiết bị có nguy cơ bị nhiễm phần mềm độc hại bootkit. Việc khắc phục lỗ hổng bypass Chế độ Khởi động An toàn (Secure Boot) được mô tả trong CVE-2023-24932 yêu cầu thu hồi quyền của trình quản lý khởi động (boot managers). Điều này có thể gây ra vấn đề cho cấu hình khởi động của một số thiết bị.
Phạm vi ảnh hưởng của vấn đề
Tham khảo thông báo công khai từ Microsoft KB: 5025885
Tất cả các thiết bị Windows có tính năng Bảo vệ Khởi động An toàn (Secure Boot) được kích hoạt đều bị ảnh hưởng bởi vấn đề này, bao gồm cả các thiết bị vật lý tại chỗ và một số máy ảo (VMs) hoặc thiết bị dựa trên đám mây. Các biện pháp bảo vệ có sẵn cho các phiên bản được hỗ trợ của Windows. Để xem danh sách đầy đủ, vui lòng tham khảo CVE-2023-24932.
Linux cũng bị ảnh hưởng bởi vấn đề này. Microsoft đang phối hợp với đại diện của các bản phân phối Linux chính để cung cấp bản vá cho hệ điều hành của họ. Bạn cần liên hệ với bộ phận hỗ trợ của bản phân phối Linux mà bạn đang sử dụng để được hướng dẫn cách khắc phục vấn đề này cho các thiết bị Linux của mình.
Quyết định
Acer Đang hợp tác chặt chẽ với Microsoft để giảm thiểu tác động đến người dùng và thiết bị, và sẽ cung cấp thêm thông tin và cập nhật khi có sẵn.
