本帖最后由 umaple 于 2023-5-17 19:39 编辑
本月微软通过累积更新发布一个新的修复程序解决 BlackLotus bootkit 漏洞,该漏洞允许攻击者绕过安全启动,即在 Windows 加载之前先启动恶意软件,这可以导致后续的安全防御策略失效,攻击者也可以窃取各种信息。
不过该漏洞无法远程触发,即攻击者必须物理接触目标设备才能发起攻击,但即便如此这对于高安全企业仍然是个非常大的威胁。 最初的漏洞 CVE-2022-21894 漏洞已经在 1 月份修复,但 CVE-2023-24932 漏洞则广泛影响 Windows 各个版本,包括但不限于 Windows 11、Windows 10、Windows 8.1、Windows 8、Windows Server 2008~2022。 但由于 Windows 8.1 及以下版本已经停止支持,所以这些操作系统不会再获得更新,但其他仍然受支持的系统则需要安装更新封堵这类漏洞。
有一点与众不同的漏洞: 与常规漏洞的修复策略不同,微软修复该漏洞是有所顾虑的,因为 2023-05 累积更新安装后,修复代码不会被启用,要在几个月后才会被启用。 这么做的原因是因为一旦启用修复程序,所有旧版 Windows 映像都无法正常启动,修复程序需要对 Windows 启动管理器进行修改,一旦修改后也无法撤销。 微软表示,安全启动功能精确控制启动操作系统时允许加载的启动映像,如果未正确启动该修复程序,则可能导致中断并阻止系统启动。 也就是后期用户至少需要使用 2023-05 月更新后的镜像进行部署或定制,之前的版本全部都会失效。
潜在影响是什么? 在这里我们不讨论 UEFI 恶意软件如何拿下物理机或在其中运行的虚拟机,毕竟这类恶意软件也不算罕见。 但修复这个漏洞的潜在影响比较大,主要是麻烦,因为无论是从微软官方直接下载的 ISO 镜像, 还是使用诸如媒体镜像工具创建的 USB 或 DVD 启动盘,以及企业 IT 部门自己维护的 Windows 安装镜像都会失效。 更麻烦的是,之前系统的映像备份、网络启动驱动器等等全部都会失效,所以企业 IT 部门可能要花费巨量时间重新更新映像并进行定制和维护,这个过程还可能涉及大量设备需要重新做兼容性测试。 还有一点要提的是使用基于旧版本创建的 Windows PE 精简启动盘、OEM PC 提供的恢复介质也都会失效,也就是导致系统无法启动。
更新时间 更新将按如下所示发布: 初始部署阶段,此阶段从 2023 年 5 月 9 日发布的更新开始,并提供基本缓解措施; 第二个部署,此阶段从 2023 年 7 月 11 日发布的更新开始,这增加了对缓解此问题的支持; 强制措施,使缓解措施永久性的最终强制阶段。 暂定计划在 2024 年第一季度。
届时所有已经安装过补丁的 Windows PC 都无法再使用旧的安装文件进行启动。
关于CVE-2023-24932漏洞的两个补丁:
KB5025885(仍存在漏洞,于是又发布了第二个补丁):如何针对与 CVE-2023-24932 关联的安全启动更改管理 Windows 引导管理器吊销
KB5027455:有关阻止易受攻击的 Windows 启动管理器的指南
| 
[复制链接]
IP卡
狗仔卡
发表于 2023-5-17 00:10:17
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
