.
No início desta semana, a Microsoft lançou um patch para corrigir um bug de bypass do Secure Boot usado pelo bootkit BlackLotus que relatamos em março. A vulnerabilidade original, CVE-2022-21894, foi corrigida em janeiro, mas o novo patch para CVE-2023-24932 aborda outra solução alternativa ativamente explorada para sistemas que executam Windows 10 e 11 e versões do Windows Server desde o Windows Server 2008.
O bootkit BlackLotus é o primeiro malware do mundo real conhecido que pode ignorar as proteções de inicialização segura, permitindo a execução de códigos maliciosos antes que seu PC comece a carregar o Windows e suas várias proteções de segurança. O Secure Boot foi ativado por padrão por mais de uma década na maioria dos PCs com Windows vendidos por empresas como Dell, Lenovo, HP, Acer e outras. Os PCs que executam o Windows 11 devem tê-lo ativado para atender aos requisitos de sistema do software.
A Microsoft diz que a vulnerabilidade pode ser explorada por um invasor com acesso físico a um sistema ou direitos de administrador em um sistema. Ele pode afetar PCs físicos e máquinas virtuais com inicialização segura habilitada.
Destacamos a nova correção em parte porque, ao contrário de muitas correções de alta prioridade do Windows, a atualização será desativada por padrão por pelo menos alguns meses após a instalação e em parte porque, eventualmente, tornará a mídia de inicialização atual do Windows não inicializável. A correção requer alterações no gerenciador de inicialização do Windows que não podem ser revertidas depois de ativadas.
“O recurso Secure Boot controla com precisão a mídia de inicialização que pode ser carregada quando um sistema operacional é iniciado e, se essa correção não for habilitada corretamente, existe o potencial de causar interrupção e impedir a inicialização do sistema”, diz um dos vários Artigos de suporte da Microsoft sobre a atualização.
Além disso, assim que as correções forem ativadas, seu PC não poderá mais inicializar a partir de uma mídia inicializável mais antiga que não inclua as correções. Na longa lista de mídia afetada: o Windows instala mídia como DVDs e drives USB criados a partir de arquivos ISO da Microsoft; imagens personalizadas de instalação do Windows mantidas pelos departamentos de TI; backups completos do sistema; unidades de inicialização de rede, incluindo aquelas usadas pelos departamentos de TI para solucionar problemas de máquinas e implantar novas imagens do Windows; unidades de inicialização simplificadas que usam o Windows PE; e a mídia de recuperação vendida com PCs OEM.
Não querendo de repente tornar os sistemas de qualquer usuário não inicializáveis, a Microsoft lançará a atualização em fases nos próximos meses. A versão inicial do patch requer intervenção substancial do usuário para habilitar – primeiro você precisa instalar as atualizações de segurança de maio e, em seguida, usar um processo de cinco etapas para aplicar e verificar manualmente um par de “arquivos de revogação” que atualizam a partição de inicialização EFI oculta do sistema e seu registro. Isso fará com que as versões mais antigas e vulneráveis do gerenciador de inicialização não sejam mais confiáveis para os PCs.
Uma segunda atualização seguirá em julho que não ativará o patch por padrão, mas o tornará mais fácil para habilitar. Uma terceira atualização no “primeiro trimestre de 2024” permitirá a correção por padrão e tornará a mídia de inicialização mais antiga não inicializável em todos os PCs com Windows corrigidos. A Microsoft diz que está “procurando oportunidades para acelerar esse cronograma”, embora não esteja claro o que isso implicaria.
Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET, descreveu a gravidade do BlackLotus e outros bootkits para Ars quando relatamos originalmente:
A conclusão final é que o UEFI bootkit BlackLotus é capaz de se instalar em sistemas atualizados usando a versão mais recente do Windows com inicialização segura habilitada. Embora a vulnerabilidade seja antiga, ainda é possível aproveitá-la para contornar todas as medidas de segurança e comprometer o processo de inicialização de um sistema, dando ao invasor controle sobre a fase inicial da inicialização do sistema. Ele também ilustra uma tendência em que os invasores estão se concentrando no EFI System Partition (ESP) em vez do firmware para seus implantes — sacrificando a discrição para uma implantação mais fácil — mas permitindo um nível semelhante de recursos.
Essa correção não é o único incidente de segurança recente a destacar as dificuldades de corrigir vulnerabilidades de inicialização segura e UEFI de baixo nível; A fabricante de computadores e placas-mãe MSI recentemente teve suas chaves de assinatura vazadas em um ataque de ransomware, e não há uma maneira simples de a empresa dizer a seus produtos para não confiar em atualizações de firmware assinadas com a chave comprometida.
.
