{"id":1862,"date":"2023-05-24T13:59:29","date_gmt":"2023-05-24T12:59:29","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=1862"},"modified":"2023-06-19T14:10:14","modified_gmt":"2023-06-19T13:10:14","slug":"rok-na-latanie-nowego-bledu-0-day-secure-boot","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/rok-na-latanie-nowego-bledu-0-day-secure-boot\/","title":{"rendered":"Rok na \u0142atanie nowego b\u0142\u0119du 0-day Secure Boot"},"content":{"rendered":"
\n
\n
\n
\n

Rozwi\u0105zanie zaproponowane przez Microsoft ostatecznie sprawi, \u017ce wszystkie rodzaje starszych no\u015bnik\u00f3w startowych Windows stan\u0105 si\u0119 nie do uruchomienia. Firma proponuje wi\u0119c wprowadzanie poprawki etapami.<\/p>\n

 <\/p>\n

W zesz\u0142ym tygodniu Microsoft opublikowa\u0142 \u0142at\u0119 usuwaj\u0105c\u0105 b\u0142\u0105d zwi\u0105zany z obchodzeniemSecure boot<\/a>, wykorzystywany przez\u00a0bootkita BlackLotus<\/a>, o kt\u00f3rym informowali\u015bmy w marcu. Oryginalna luka,\u00a0CVE-2022-21894<\/a>, zosta\u0142a za\u0142atana w styczniu, ale nowa \u0142atka dla\u00a0CVE-2023-24932<\/a>\u00a0\u00a0rozwi\u0105zuje inne aktywnie wykorzystywane obej\u015bcie dla system\u00f3w z Windows 10 i 11 oraz wersji Windows Server si\u0119gaj\u0105cych Windows Server 2008.<\/p>\n

 <\/p>\n

BlackLotus bootkit\u00a0<\/strong><\/p>\n

 <\/p>\n

BlackLotus bootkit to pierwsze znane na \u015bwiecie z\u0142o\u015bliwe oprogramowanie, kt\u00f3re potrafi omin\u0105\u0107 zabezpieczenia Secure Boot, umo\u017cliwiaj\u0105c wykonanie z\u0142o\u015bliwego kodu przed rozpocz\u0119ciem \u0142adowania systemu Windows i jego zabezpiecze\u0144. Funkcja Secure Boot jest domy\u015blnie w\u0142\u0105czona od ponad dekady w wi\u0119kszo\u015bci komputer\u00f3w z systemem Windows sprzedawanych przez firmy takie jak Dell, Lenovo, HP, czy Acer. Komputery z systemem Windows 11 musz\u0105 mie\u0107 w\u0142\u0105czon\u0105 t\u0119 funkcj\u0119, aby spe\u0142ni\u0107 wymagania systemowe oprogramowania.<\/p>\n

Microsoft twierdzi, \u017ce luka mo\u017ce zosta\u0107 wykorzystana przez napastnika posiadaj\u0105cego fizyczny dost\u0119p do systemu lub prawa administratora w systemie. Mo\u017ce ona zaatakowa\u0107 fizyczne komputery PC oraz maszyny wirtualne z w\u0142\u0105czonym Secure Boot.<\/p>\n

 <\/p>\n

Nowa poprawka i jej konsekwencje<\/strong><\/p>\n

 <\/p>\n

Zwracamy uwag\u0119 na now\u0105 poprawk\u0119 cz\u0119\u015bciowo dlatego, \u017ce w przeciwie\u0144stwie do wielu priorytetowych poprawek dla systemu Windows, aktualizacja b\u0119dzie domy\u015blnie wy\u0142\u0105czona przez co najmniej kilka miesi\u0119cy po jej zainstalowaniu, cz\u0119\u015bciowo dlatego, \u017ce ostatecznie uniemo\u017cliwi uruchomienie bie\u017c\u0105cego no\u015bnika startowego systemu Windows. Poprawka wymaga zmian w mened\u017cerze rozruchu systemu Windows, kt\u00f3re nie mog\u0105 by\u0107 odwr\u00f3cone po ich w\u0142\u0105czeniu.<\/p>\n

 <\/p>\n

“Funkcja Secure Boot precyzyjnie kontroluje no\u015bnik startowy, kt\u00f3ry jest dozwolony do za\u0142adowania podczas inicjacji systemu operacyjnego, a je\u015bli ta poprawka nie zostanie prawid\u0142owo zaimplementowana, istnieje mo\u017cliwo\u015b\u0107 spowodowania zak\u0142\u00f3ce\u0144 i uniemo\u017cliwienia uruchomienia systemu” \u2013 czytamy w jednym z kilku\u00a0artyku\u0142\u00f3w pomocy technicznej<\/a>\u00a0Microsoftu na temat aktualizacji.<\/p>\n

Dodatkowo, gdy poprawki zostan\u0105 w\u0142\u0105czone, komputer nie b\u0119dzie ju\u017c w stanie uruchomi\u0107 si\u0119 ze starszych no\u015bnik\u00f3w startowych, kt\u00f3re nie zawieraj\u0105 poprawek. Na\u00a0d\u0142ugiej li\u015bcie zagro\u017conych no\u015bnik\u00f3w<\/a>\u00a0znajduj\u0105 si\u0119: no\u015bniki instalacyjne systemu Windows, takie jak p\u0142yty DVD i dyski USB utworzone z plik\u00f3w ISO firmy Microsoft, niestandardowe obrazy instalacyjne systemu Windows utrzymywane przez dzia\u0142y IT, pe\u0142ne kopie zapasowe systemu, sieciowe dyski rozruchowe, w tym te u\u017cywane przez dzia\u0142y IT do rozwi\u0105zywania problem\u00f3w z maszynami i wdra\u017cania nowych obraz\u00f3w systemu Windows, pozbawione dysk\u00f3w rozruchowych, kt\u00f3re u\u017cywaj\u0105 systemu\u00a0Windows PE<\/a>\u00a0oraz no\u015bniki odzyskiwania sprzedawane z komputerami OEM.<\/p>\n

 <\/p>\n

Stopniowe zmiany<\/strong><\/p>\n

 <\/p>\n

Nie chc\u0105c nagle unieruchomi\u0107 system\u00f3w, Microsoft b\u0119dzie wprowadza\u0142 aktualizacj\u0119 etapami w ci\u0105gu najbli\u017cszych kilku miesi\u0119cy. Pocz\u0105tkowa wersja poprawki wymaga\u00a0znacznej interwencji u\u017cytkownika<\/a>\u00a0\u2013 najpierw nale\u017cy zainstalowa\u0107 majowe aktualizacje zabezpiecze\u0144, a nast\u0119pnie u\u017cy\u0107 pi\u0119ciostopniowego procesu, aby r\u0119cznie zaaplikowa\u0107 i zweryfikowa\u0107 par\u0119 “plik\u00f3w uniewa\u017cnienia”, kt\u00f3re aktualizuj\u0105 ukryt\u0105 partycj\u0119 rozruchow\u0105 EFI systemu i rejestr. Sprawi\u0105 one, \u017ce komputery nie b\u0119d\u0105 ju\u017c ufa\u0107 starszym, podatnym na ataki wersjom bootloadera.<\/p>\n

W lipcu pojawi si\u0119 druga aktualizacja, kt\u00f3ra nie w\u0142\u0105czy domy\u015blnie tej poprawki, ale u\u0142atwi jej w\u0142\u0105czenie. Trzecia aktualizacja w “pierwszym kwartale 2024 roku” w\u0142\u0105czy poprawk\u0119 domy\u015blnie i sprawi, \u017ce starsze no\u015bniki startowe nie b\u0119d\u0105 mog\u0142y by\u0107 uruchamiane na wszystkich komputerach z za\u0142atanym systemem Windows. Microsoft twierdzi, \u017ce “szuka mo\u017cliwo\u015bci przyspieszenia tego harmonogramu”, cho\u0107 nie jest jasne, co mia\u0142oby to oznacza\u0107.<\/p>\n

 <\/p>\n

Konieczno\u015b\u0107 reakcji<\/strong><\/p>\n

Jean-Ian Boutin, dyrektor ds. bada\u0144 nad zagro\u017ceniami w firmie ESET, opisa\u0142 powag\u0119 BlackLotusa i innych bootkit\u00f3w nast\u0119puj\u0105co:<\/p>\n

Wychodzi na to, \u017ce bootkit UEFI BlackLotus jest w stanie zainstalowa\u0107 si\u0119 na aktualnych systemach wykorzystuj\u0105cych najnowsz\u0105 wersj\u0119 Windows z w\u0142\u0105czonym bezpiecznym rozruchem. Mimo \u017ce luka jest stara, wci\u0105\u017c mo\u017cna j\u0105 wykorzysta\u0107 do obej\u015bcia wszystkich zabezpiecze\u0144 i skompromitowania procesu uruchamiania systemu, daj\u0105c atakuj\u0105cemu kontrol\u0119 nad wczesn\u0105 faz\u0105 rozruchu systemu. Ilustruje ona r\u00f3wnie\u017c trend, w kt\u00f3rym atakuj\u0105cy skupiaj\u0105 si\u0119 na partycji systemowej EFI (ESP) zamiast na firmware dla swoich implant\u00f3w \u2013 po\u015bwi\u0119caj\u0105c dyskrecj\u0119 dla \u0142atwiejszego wdro\u017cenia, ale zachowuj\u0105c podobny poziom mo\u017cliwo\u015bci.<\/p>\n

Ta poprawka nie jest jedynym niedawnym incydentem bezpiecze\u0144stwa, kt\u00f3ry podkre\u015bla trudno\u015bci z za\u0142ataniem niskopoziomowych luk w Secure Boot i UEFI; producent komputer\u00f3w i p\u0142yt g\u0142\u00f3wnych MSI pad\u0142 ofiar\u0105 ataku ransomware, po kt\u00f3rym nast\u0105pi\u0142 wyciek kluczy podpisuj\u0105cych i nie ma prostego sposobu dla firmy, aby \u201epowiedzie\u0107\u201d swoim produktom, aby nie ufa\u0142y aktualizacjom firmware podpisanym za pomoc\u0105 skompromitowanego klucza.<\/p>\n

Chcesz wiedzie\u0107, jak przygotowa\u0107 si\u0119 na te zmiany? Jak zadzia\u0142a\u0107? Kiedy w\u0142\u0105czy\u0107 now\u0105 poprawk\u0119? Zrobi\u0107 to samodzielnie czy czeka\u0107 na upowszechnienie? Skontaktuj si\u0119 z doradcami Cybergen i znajd\u017a skuteczne rozwi\u0105zanie.<\/p>\n<\/div>\n<\/div>\n<\/section>\n<\/div>\n

\n
\n
\n
\n

Zam\u00f3w prezentacj\u0119<\/h3>\n<\/div>\n<\/div>\n<\/section>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Rozwi\u0105zanie zaproponowane przez Microsoft ostatecznie sprawi, \u017ce wszystkie rodzaje starszych no\u015bnik\u00f3w startowych Windows stan\u0105 si\u0119 nie do uruchomienia. Firma proponuje wi\u0119c wprowadzanie poprawki etapami.   W zesz\u0142ym tygodniu Microsoft opublikowa\u0142 \u0142at\u0119 usuwaj\u0105c\u0105 b\u0142\u0105d zwi\u0105zany z obchodzeniemSecure boot, wykorzystywany przez\u00a0bootkita BlackLotus, o kt\u00f3rym informowali\u015bmy w marcu. Oryginalna luka,\u00a0CVE-2022-21894, zosta\u0142a za\u0142atana w styczniu, ale nowa \u0142atka dla\u00a0CVE-2023-24932\u00a0\u00a0rozwi\u0105zuje […]<\/p>\n","protected":false},"author":2,"featured_media":1015,"comment_status":"open","ping_status":"open","sticky":false,"template":"essential-blocks-blank-template.php","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[15],"class_list":["post-1862","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-phishing","tag-bezpieczenstwo"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/1862"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=1862"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/1862\/revisions"}],"predecessor-version":[{"id":1863,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/1862\/revisions\/1863"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/1015"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=1862"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=1862"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=1862"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}