Microsoft выпустила необязательное исправление уязвимости «Безопасной загрузки», которая используется в атаках

Технология «Безопасную загрузку» (Secure Boot) блокирует недоверенные загрузчики на компьютерах с UEFI и чипом TPM (Trusted Platform Module). Функция позволяет обезопаситься от руткитов при запуске системы.

Согласно публикации в блоге Microsoft Security Response Center, уязвимость CVE-2023-24932 использовалась для обхода исправлений, выпущенных для CVE-2022-21894, еще одной ошибки Secure Boot, которая использовалась в атаках BlackLotus в прошлом году.

Microsoft сообщает:

Исправление уязвимости CVE-2023-24932 в Диспетчере загрузки Windows, выпущенное 9 мая 2023 года, предотвращает данный вид атак, но по умолчанию отключено и не обеспечивает защиту.

Уязвимость позволяет злоумышленнику выполнять самоподписанный код на уровне UEFI при включенной безопасной загрузке.

Злоумышленники используют уязвимость в первую очередь как механизм сохранения угрозы на устройстве и уклонения от защиты. Успешная эксплуатация зависит от того, имеет ли злоумышленник физический доступ или привилегии локального администратора на целевом устройстве.

Данной уязвимости подвержены все системы Windows, в которых включены защиты Secure Boot, включая локальные, виртуальные машины и облачные устройства.

Тем не менее, исправления CVE-2023-24932 доступны только для поддерживаемых версий Windows 10, Windows 11 и Windows Server в следующих обновлениях:

• Обновление KB5026372 (Build 22621.1702) для Windows 11, версия 22H2
• Обновление KB5026368 (Build 22000.1936) для Windows 11, версия 21H2
• Обновление KB5026361 для Windows 10, версия 22H2 и 21H2
• Обновления безопасности для Windows Server за май 2023.

Чтобы проверить статус Secure Boot, можно запустить команду msinfo32 из окна Выполнить, чтобы открыть интерфейс «Сведения о системе».

Безопасная загрузка включена, если в разделе «Сведения о системе» отображается сообщение: Состояние безопасной загрузки: Вкл.

Как защититься от атак с использованием CVE-2023-24932?

Выпущенные Microsoft обновления безопасности являются необязательными и по умолчанию отключены.

Чтобы защитить свои устройства Windows, клиенты должны пройти ряд шагов «для обновления загрузочного носителя и отзыва загрузчика перед включением этого обновления».

Чтобы включить защиту от ошибки обхода Secure Boot с идентификатором CVE-2023-24932, необходимо выполнить следующие действия в строгом порядке:

• Установите обновления безопасности от 9 мая 2023 г. на всех затронутых системах.
• Обновите загрузочный носитель с помощью обновлений Windows, выпущенных 9 мая 2023 г. или позже. Если вы не создаете собственный носитель, вам потребуется получить обновленный официальный носитель от Microsoft или производителя вашего устройства (OEM).
• Выполните отзыв загрузчика для защиты от уязвимости CVE-2023-24932.

Microsoft также использует поэтапный подход к обеспечению защиты от уязвимости CVE-2023-24932, чтобы уменьшить влияние на клиентов.

График внедрения мер защиты включает в себя три этапа:

• 9 мая 2023 г.: выпущено первоначальное исправление для CVE-2023-24932. В этом выпуске для исправления требуется установленное обновление безопасности Windows от 9 мая 2023 г. и дополнительные действия пользователя.
• 11 июля 2023 г.: во втором выпуске будут представлены дополнительные параметры обновления, упрощающие развертывание средств защиты.
• Первый квартал 2024 г.: в финальном выпуске исправление CVE-2023-24932 будет включено по умолчанию и будет принудительно отзывать загрузчик на всех устройствах Windows.

Microsoft также предупредила клиентов, что отменить изменения после того, как средства защиты от CVE-2023-24932 будут полностью развернуты, уже не получится:

Включение исправления означает отзыв загрузчика, данное действия нельзя отменить, если вы продолжите использовать Secure Boot на своем устройстве.

Даже форматирование диска не отменит эту операцию.