В ближайшем будущем загрузочные диски и флешки с Windows могут перестать работать. Виной тому — патчи Microsoft для уязвимости, позволяющей обходить систему защиты Secure Boot. Проблему, обнаруженную ещё в прошлом году, подробно описала компания ESET: по данным экспертов, это первый случай, когда обход Secure Boot активно используют в реальном вредоносном программном обеспечении, а конкретно — в бутките BlackLotus.
Как сообщает издание Ars Technica, помимо изначальной уязвимости CVE-2022-21894, задокументированной в январе 2022 года, обходить защиту Secure Boot также можно с помощью схожей проблемы с идентификатором CVE-2023-24932. В обоих случаях атакующие используют штатные компоненты Windows. Для решения проблемы, таким образом, нужен не только выпуск патчей, но и запрет на выполнение старых легитимных версий ПО. Вследствие этого запускать старые загрузочные носители будет невозможно.
Для атаки с использованием данных уязвимостей нужен либо физический доступ к компьютеру, либо возможность выполнения кода с правами администратора. В случае успеха вредоносное ПО получает постоянный и полный доступ к системе, а также способность восстанавливаться даже после переустановки. По данным ESET, буткит BlackLotus успешно подменяет штатный загрузочный менеджер Windows на свой собственный. Простым патчем такую проблему не решить: атакующие могут вызвать перезагрузку компьютера и провести атаку с использованием непропатченных, но подписанных и легитимных версий ПО от Microsoft. Отсюда возникает необходимость добавить такие библиотеки в чёрный список — с запретом их выполнения.
К чему это приведёт, подробно описывается в техническом документе на сайте Microsoft. Актуальную версию патча, вышедшую 9 мая, можно активировать только вручную, причём по довольно сложной процедуре. Сейчас у администраторов есть время на обновление загрузочных носителей. Следующий апдейт, запланированный на июль, также не будет автоматическим, но процедура его активации упростится. Наконец, финальным шагом, запланированным на начало следующего года, станет окончательный запрет на запуск загрузочных образов Windows, созданных до 9 мая 2023 года.
Столь длительное время, отведённое на устранение достаточно опасной уязвимости, вполне обосновано: речь идёт не только о загрузочных образах Windows, которые можно скачать с сайта Microsoft. Под удар попадают и кастомные носители, создаваемые IT-администраторами в компаниях, а также резервные копии. Внедрение подобного патча способно нарушить сразу множество процессов в организациях, причем процессов чувствительных, связанных с восстановлением данных.
Материалы: Блог компании «Лаборатория Касперского»