Rozwiązanie zaproponowane przez Microsoft ostatecznie sprawi, że wszystkie rodzaje starszych nośników startowych Windows staną się nie do uruchomienia. Firma proponuje więc wprowadzanie poprawki etapami.
W zeszłym tygodniu Microsoft opublikował łatę usuwającą błąd związany z obchodzeniemSecure boot, wykorzystywany przez bootkita BlackLotus, o którym informowaliśmy w marcu. Oryginalna luka, CVE-2022-21894, została załatana w styczniu, ale nowa łatka dla CVE-2023-24932 rozwiązuje inne aktywnie wykorzystywane obejście dla systemów z Windows 10 i 11 oraz wersji Windows Server sięgających Windows Server 2008.
BlackLotus bootkit
BlackLotus bootkit to pierwsze znane na świecie złośliwe oprogramowanie, które potrafi ominąć zabezpieczenia Secure Boot, umożliwiając wykonanie złośliwego kodu przed rozpoczęciem ładowania systemu Windows i jego zabezpieczeń. Funkcja Secure Boot jest domyślnie włączona od ponad dekady w większości komputerów z systemem Windows sprzedawanych przez firmy takie jak Dell, Lenovo, HP, czy Acer. Komputery z systemem Windows 11 muszą mieć włączoną tę funkcję, aby spełnić wymagania systemowe oprogramowania.
Microsoft twierdzi, że luka może zostać wykorzystana przez napastnika posiadającego fizyczny dostęp do systemu lub prawa administratora w systemie. Może ona zaatakować fizyczne komputery PC oraz maszyny wirtualne z włączonym Secure Boot.
Nowa poprawka i jej konsekwencje
Zwracamy uwagę na nową poprawkę częściowo dlatego, że w przeciwieństwie do wielu priorytetowych poprawek dla systemu Windows, aktualizacja będzie domyślnie wyłączona przez co najmniej kilka miesięcy po jej zainstalowaniu, częściowo dlatego, że ostatecznie uniemożliwi uruchomienie bieżącego nośnika startowego systemu Windows. Poprawka wymaga zmian w menedżerze rozruchu systemu Windows, które nie mogą być odwrócone po ich włączeniu.
“Funkcja Secure Boot precyzyjnie kontroluje nośnik startowy, który jest dozwolony do załadowania podczas inicjacji systemu operacyjnego, a jeśli ta poprawka nie zostanie prawidłowo zaimplementowana, istnieje możliwość spowodowania zakłóceń i uniemożliwienia uruchomienia systemu” – czytamy w jednym z kilku artykułów pomocy technicznej Microsoftu na temat aktualizacji.
Dodatkowo, gdy poprawki zostaną włączone, komputer nie będzie już w stanie uruchomić się ze starszych nośników startowych, które nie zawierają poprawek. Na długiej liście zagrożonych nośników znajdują się: nośniki instalacyjne systemu Windows, takie jak płyty DVD i dyski USB utworzone z plików ISO firmy Microsoft, niestandardowe obrazy instalacyjne systemu Windows utrzymywane przez działy IT, pełne kopie zapasowe systemu, sieciowe dyski rozruchowe, w tym te używane przez działy IT do rozwiązywania problemów z maszynami i wdrażania nowych obrazów systemu Windows, pozbawione dysków rozruchowych, które używają systemu Windows PE oraz nośniki odzyskiwania sprzedawane z komputerami OEM.
Stopniowe zmiany
Nie chcąc nagle unieruchomić systemów, Microsoft będzie wprowadzał aktualizację etapami w ciągu najbliższych kilku miesięcy. Początkowa wersja poprawki wymaga znacznej interwencji użytkownika – najpierw należy zainstalować majowe aktualizacje zabezpieczeń, a następnie użyć pięciostopniowego procesu, aby ręcznie zaaplikować i zweryfikować parę “plików unieważnienia”, które aktualizują ukrytą partycję rozruchową EFI systemu i rejestr. Sprawią one, że komputery nie będą już ufać starszym, podatnym na ataki wersjom bootloadera.
W lipcu pojawi się druga aktualizacja, która nie włączy domyślnie tej poprawki, ale ułatwi jej włączenie. Trzecia aktualizacja w “pierwszym kwartale 2024 roku” włączy poprawkę domyślnie i sprawi, że starsze nośniki startowe nie będą mogły być uruchamiane na wszystkich komputerach z załatanym systemem Windows. Microsoft twierdzi, że “szuka możliwości przyspieszenia tego harmonogramu”, choć nie jest jasne, co miałoby to oznaczać.
Konieczność reakcji
Jean-Ian Boutin, dyrektor ds. badań nad zagrożeniami w firmie ESET, opisał powagę BlackLotusa i innych bootkitów następująco:
Wychodzi na to, że bootkit UEFI BlackLotus jest w stanie zainstalować się na aktualnych systemach wykorzystujących najnowszą wersję Windows z włączonym bezpiecznym rozruchem. Mimo że luka jest stara, wciąż można ją wykorzystać do obejścia wszystkich zabezpieczeń i skompromitowania procesu uruchamiania systemu, dając atakującemu kontrolę nad wczesną fazą rozruchu systemu. Ilustruje ona również trend, w którym atakujący skupiają się na partycji systemowej EFI (ESP) zamiast na firmware dla swoich implantów – poświęcając dyskrecję dla łatwiejszego wdrożenia, ale zachowując podobny poziom możliwości.
Ta poprawka nie jest jedynym niedawnym incydentem bezpieczeństwa, który podkreśla trudności z załataniem niskopoziomowych luk w Secure Boot i UEFI; producent komputerów i płyt głównych MSI padł ofiarą ataku ransomware, po którym nastąpił wyciek kluczy podpisujących i nie ma prostego sposobu dla firmy, aby „powiedzieć” swoim produktom, aby nie ufały aktualizacjom firmware podpisanym za pomocą skompromitowanego klucza.
Chcesz wiedzieć, jak przygotować się na te zmiany? Jak zadziałać? Kiedy włączyć nową poprawkę? Zrobić to samodzielnie czy czekać na upowszechnienie? Skontaktuj się z doradcami Cybergen i znajdź skuteczne rozwiązanie.