No início desta semana, a Microsoft lançou um patch para corrigir a vulnerabilidade Secure Boot explorada pelo bootkit BlackLotus que relatamos em março. A vulnerabilidade original CVE-2022-21894 foi corrigida em janeiro. O novo patch de segurança CVE-2023-24932 aborda outra solução alternativa usada ativamente por invasores para sistemas que executam o Windows 10/11 e versões do Windows Server começando com o Windows Server 2008.
Fonte da imagem: pixabay
O bootkit BlackLotus é um malware que pode ignorar as proteções de Inicialização Segura, permitindo que códigos maliciosos sejam executados antes que o computador comece a carregar o Windows e suas várias proteções. Por mais de uma década, o Secure Boot foi ativado por padrão na maioria dos PCs com Windows vendidos por empresas como Dell, Lenovo, HP, Acer e outras. Em computadores que executam o Windows 11, ele deve ser ativado para atender aos requisitos de sistema do software.
A Microsoft diz que a vulnerabilidade pode ser explorada por um invasor com acesso físico ao sistema ou direitos de administrador. O novo patch de segurança se destaca porque o computador não poderá mais inicializar a partir de uma mídia inicializável mais antiga que não contenha o patch. Não querendo de repente tornar os sistemas do usuário não inicializáveis, a Microsoft pretende lançar a atualização em etapas nos próximos meses. Uma segunda atualização ocorrerá em julho, que não incluirá a correção padrão, mas facilitará sua ativação. A terceira atualização no primeiro trimestre de 2024 ativará a atualização de segurança padrão e tornará a mídia inicializável mais antiga não inicializável em todos os PCs com patches do Windows instalados. A Microsoft diz que está “procurando oportunidades para acelerar esse cronograma”.
Este não é o único incidente de segurança recente que destaca a dificuldade de corrigir vulnerabilidades de inicialização segura e UEFI de baixo nível. A MSI recentemente teve um ataque de ransomware que vazou chaves de assinatura, após o que a Intel, responsável pela proteção de hardware de integridade de inicialização do BIOS, divulgou uma declaração oficial sobre o incidente.