logo Cybergen
Zgłoś incydent
Zgłoś incydent
Podejrzewasz, że mogłeś paść ofiarą ataku? Nie czekaj, zgłoś nam problem i skorzystaj z pomocy naszego zespołu 24/7
Cyberbezpieczeństwo Black Lotus Microsoft

Rok na łatanie nowego błędu 0-day Secure Boot

Rozwiązanie zaproponowane przez Microsoft ostatecznie sprawi, że wszystkie rodzaje starszych nośników startowych Windows staną się nie do uruchomienia. Firma proponuje więc wprowadzanie poprawki etapami. 

 

W zeszłym tygodniu Microsoft opublikował łatę usuwającą błąd związany z obchodzeniem Secure boot, wykorzystywany przez bootkita BlackLotus, o którym informowaliśmy w marcu. Oryginalna luka, CVE-2022-21894, została załatana w styczniu, ale nowa łatka dla CVE-2023-24932  rozwiązuje inne aktywnie wykorzystywane obejście dla systemów z Windows 10 i 11 oraz wersji Windows Server sięgających Windows Server 2008.

 

BlackLotus bootkit 

 

BlackLotus bootkit to pierwsze znane na świecie złośliwe oprogramowanie, które potrafi ominąć zabezpieczenia Secure Boot, umożliwiając wykonanie złośliwego kodu przed rozpoczęciem ładowania systemu Windows i jego zabezpieczeń. Funkcja Secure Boot jest domyślnie włączona od ponad dekady w większości komputerów z systemem Windows sprzedawanych przez firmy takie jak Dell, Lenovo, HP, czy Acer. Komputery z systemem Windows 11 muszą mieć włączoną tę funkcję, aby spełnić wymagania systemowe oprogramowania.


Microsoft twierdzi, że luka może zostać wykorzystana przez napastnika posiadającego fizyczny dostęp do systemu lub prawa administratora w systemie. Może ona zaatakować fizyczne komputery PC oraz maszyny wirtualne z włączonym Secure Boot.

 

Nowa poprawka i jej konsekwencje

 

Zwracamy uwagę na nową poprawkę częściowo dlatego, że w przeciwieństwie do wielu priorytetowych poprawek dla systemu Windows, aktualizacja będzie domyślnie wyłączona przez co najmniej kilka miesięcy po jej zainstalowaniu, częściowo dlatego, że ostatecznie uniemożliwi uruchomienie bieżącego nośnika startowego systemu Windows. Poprawka wymaga zmian w menedżerze rozruchu systemu Windows, które nie mogą być odwrócone po ich włączeniu.

 

"Funkcja Secure Boot precyzyjnie kontroluje nośnik startowy, który jest dozwolony do załadowania podczas inicjacji systemu operacyjnego, a jeśli ta poprawka nie zostanie prawidłowo zaimplementowana, istnieje możliwość spowodowania zakłóceń i uniemożliwienia uruchomienia systemu" – czytamy w jednym z kilku artykułów pomocy technicznej Microsoftu na temat aktualizacji.


Dodatkowo, gdy poprawki zostaną włączone, komputer nie będzie już w stanie uruchomić się ze starszych nośników startowych, które nie zawierają poprawek. Na długiej liście zagrożonych nośników znajdują się: nośniki instalacyjne systemu Windows, takie jak płyty DVD i dyski USB utworzone z plików ISO firmy Microsoft, niestandardowe obrazy instalacyjne systemu Windows utrzymywane przez działy IT, pełne kopie zapasowe systemu, sieciowe dyski rozruchowe, w tym te używane przez działy IT do rozwiązywania problemów z maszynami i wdrażania nowych obrazów systemu Windows, pozbawione dysków rozruchowych, które używają systemu Windows PE oraz nośniki odzyskiwania sprzedawane z komputerami OEM.

 

Stopniowe zmiany

 

Nie chcąc nagle unieruchomić systemów, Microsoft będzie wprowadzał aktualizację etapami w ciągu najbliższych kilku miesięcy. Początkowa wersja poprawki wymaga znacznej interwencji użytkownika – najpierw należy zainstalować majowe aktualizacje zabezpieczeń, a następnie użyć pięciostopniowego procesu, aby ręcznie zaaplikować i zweryfikować parę "plików unieważnienia", które aktualizują ukrytą partycję rozruchową EFI systemu i rejestr. Sprawią one, że komputery nie będą już ufać starszym, podatnym na ataki wersjom bootloadera.


W lipcu pojawi się druga aktualizacja, która nie włączy domyślnie tej poprawki, ale ułatwi jej włączenie. Trzecia aktualizacja w "pierwszym kwartale 2024 roku" włączy poprawkę domyślnie i sprawi, że starsze nośniki startowe nie będą mogły być uruchamiane na wszystkich komputerach z załatanym systemem Windows. Microsoft twierdzi, że "szuka możliwości przyspieszenia tego harmonogramu", choć nie jest jasne, co miałoby to oznaczać.

 

Konieczność reakcji


Jean-Ian Boutin, dyrektor ds. badań nad zagrożeniami w firmie ESET, opisał powagę BlackLotusa i innych bootkitów następująco:


Wychodzi na to, że bootkit UEFI BlackLotus jest w stanie zainstalować się na aktualnych systemach wykorzystujących najnowszą wersję Windows z włączonym bezpiecznym rozruchem. Mimo że luka jest stara, wciąż można ją wykorzystać do obejścia wszystkich zabezpieczeń i skompromitowania procesu uruchamiania systemu, dając atakującemu kontrolę nad wczesną fazą rozruchu systemu. Ilustruje ona również trend, w którym atakujący skupiają się na partycji systemowej EFI (ESP) zamiast na firmware dla swoich implantów – poświęcając dyskrecję dla łatwiejszego wdrożenia, ale zachowując podobny poziom możliwości.


Ta poprawka nie jest jedynym niedawnym incydentem bezpieczeństwa, który podkreśla trudności z załataniem niskopoziomowych luk w Secure Boot i UEFI; producent komputerów i płyt głównych MSI padł ofiarą ataku ransomware, po którym nastąpił wyciek kluczy podpisujących i nie ma prostego sposobu dla firmy, aby „powiedzieć” swoim produktom, aby nie ufały aktualizacjom firmware podpisanym za pomocą skompromitowanego klucza.


Chcesz wiedzieć, jak przygotować się na te zmiany? Jak zadziałać? Kiedy włączyć nową poprawkę? Zrobić to samodzielnie czy czekać na upowszechnienie? Skontaktuj się z doradcami Cybergen i znajdź skuteczne rozwiązanie. 

Zamów prezentację

Kontakt

Cybergen jest konsorcjum 2 spółek, którego celem jest wprowadzenie na rynek polski produktów Group-IB oraz świadczenie usług w zakresie cyberbezpieczeństwa

logo-1

Dobra 22/24
00-388 Warszawa

(22) 100 777
grow logo

Grow Poland Sp. z o.o.

Konstruktorska 11 (Adgar BIT), 5th floor

02-673 Warsaw, Poland

(48) 668 258 500