Microsoft rilascia una correzione opzionale per Secure Boot zero

Jun 29, 2023

Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità zero-day Secure Boot sfruttata dal malware BlackLotus UEFI per infettare i sistemi Windows dotati di patch.

Secure Boot è una funzionalità di sicurezza che blocca i bootloader non attendibili dall'OEM sui computer con firmware UEFI (Unified Extensible Firmware Interface) e un chip TPM (Trusted Platform Module) per impedire il caricamento dei rootkit durante il processo di avvio.

Secondo un post sul blog del Microsoft Security Response Center, la falla di sicurezza (tracciata come CVE-2023-24932) è stata utilizzata per aggirare le patch rilasciate per CVE-2022-21894, un altro bug di Secure Boot di cui si è abusato negli attacchi BlackLotus dello scorso anno.

"Per proteggersi da questo attacco, una correzione per il boot manager di Windows (CVE-2023-24932) è inclusa nel rilascio dell'aggiornamento di sicurezza del 9 maggio 2023, ma è disabilitata per impostazione predefinita e non fornirà protezione", ha affermato la società.

"Questa vulnerabilità consente a un utente malintenzionato di eseguire codice autofirmato a livello UEFI (Unified Extensible Firmware Interface) mentre Secure Boot è abilitato.

"Questo viene utilizzato dagli autori delle minacce principalmente come meccanismo di persistenza e di evasione della difesa. Lo sfruttamento riuscito si basa sul fatto che l'aggressore abbia accesso fisico o privilegi di amministratore locale sul dispositivo preso di mira."

Tutti i sistemi Windows in cui sono abilitate le protezioni Secure Boot sono interessati da questo difetto, inclusi i dispositivi locali, le macchine virtuali e i dispositivi basati su cloud.

Tuttavia, le patch di sicurezza CVE-2023-24932 rilasciate oggi sono disponibili solo per le versioni supportate di Windows 10, Windows 11 e Windows Server.

Per determinare se le protezioni di avvio sicuro sono abilitate sul tuo sistema, puoi eseguire il comando msinfo32 da un prompt dei comandi di Windows per aprire l'app Informazioni di sistema.

L'avvio protetto viene attivato se viene visualizzato il messaggio "Secure Boot State ON" sul lato sinistro della finestra dopo aver selezionato "Riepilogo sistema".

Sebbene gli aggiornamenti di sicurezza rilasciati oggi da Redmond contengano una correzione del boot manager di Windows, sono disabilitati per impostazione predefinita e non rimuoveranno il vettore di attacco sfruttato negli attacchi BlackLotus.

Per difendere i propri dispositivi Windows, i clienti devono sottoporsi a una procedura che richiede più passaggi manuali "per aggiornare il supporto di avvio e applicare revoche prima di abilitare questo aggiornamento".

Per abilitare manualmente le protezioni per il bug di bypass Secure Boot CVE-2023-24932, è necessario eseguire i seguenti passaggi in questo ordine esatto (altrimenti il ​​sistema non si avvierà più):

Microsoft sta inoltre adottando un approccio graduale per applicare le protezioni che affrontano questa falla di sicurezza per ridurre l'impatto sui clienti grazie all'abilitazione delle protezioni CVE-2023-24932.

La tempistica di implementazione prevede tre fasi:

Microsoft ha inoltre avvertito i clienti che non è possibile annullare le modifiche una volta implementate completamente le mitigazioni CVE-2023-24932.

"Una volta abilitata la mitigazione di questo problema su un dispositivo, il che significa che le revoche sono state applicate, non può essere annullata se si continua a utilizzare Secure Boot su quel dispositivo", ha affermato Microsoft.

"Anche la riformattazione del disco non eliminerà le revoche se sono già state applicate."

Aggiornamento: titolo rivisto per spiegare che si tratta di una correzione facoltativa.

Il codice sorgente del malware UEFI BlackLotus per Windows è trapelato su GitHub

Il nuovo malware worm P2PInfect prende di mira i server Linux e Windows Redis

La CISA ordina alle agenzie governative di mitigare gli zero-day di Windows e Office

Il Patch Tuesday di luglio 2023 di Microsoft avverte di 6 zero-day e 132 difetti

Apple corregge gli zero-day utilizzati per distribuire lo spyware Triangolation tramite iMessage