A Microsoft lançou um script PowerShell para ajudar usuários e administradores do Windows a atualizar mídias bootáveis para que utilizem o novo certificado "Windows UEFI CA 2023" antes que as medidas de mitigação do bootkit UEFI BlackLotus sejam aplicadas ainda este ano.
BlackLotus é um bootkit UEFI capaz de burlar o Secure Boot e ganhar controle sobre o processo de inicialização do sistema operacional.
Uma vez no controle, o BlackLotus pode desativar recursos de segurança do Windows, como BitLocker, Hypervisor-Protected Code Integrity (HVCI) e Microsoft Defender Antivirus, permitindo que ele implante malware no nível de privilégio mais alto enquanto permanece indetectado.
Em março de 2023 e depois em julho de 2024, a Microsoft lançou atualizações de segurança para uma vulnerabilidade de bypass do Secure Boot rastreada como
CVE-2023-24932
, que revoga gerenciadores de boot vulneráveis usados pelo BlackLotus.
No entanto, essa correção é desativada por padrão, pois a aplicação incorreta da atualização ou conflitos em dispositivos poderiam fazer com que o sistema operacional parasse de carregar.
Portanto, implementar a correção em etapas permite que administradores do Windows a testem antes de ser obrigatoriamente aplicada antes de 2026.
Quando habilitada, a atualização de segurança adicionará o certificado "Windows UEFI CA 2023" ao banco de dados de assinaturas de "Secure Boot" do UEFI.
Administradores podem então instalar novos gerenciadores de boot assinados com este certificado.
Esse processo também inclui a atualização do Secure Boot Forbidden Signature Database (DBX) para acrescentar o certificado "Windows Production CA 2011".
Esse certificado é usado para assinar gerenciadores de boot antigos e vulneráveis, e uma vez revogado, fará com que esses gerenciadores de boot se tornem não confiáveis e não carreguem.
No entanto, se você aplicar as medidas de mitigação e encontrar um problema ao inicializar seus dispositivos, você deve primeiro atualizar sua mídia bootável para usar o certificado Windows UEFI CA 2023 para solucionar a instalação do Windows.
"Se você encontrar um problema com o dispositivo após aplicar as medidas de mitigação e o dispositivo se tornar ininicializável, você poderá ser incapaz de iniciar ou recuperar seu dispositivo a partir das mídias existentes", explica a Microsoft em um boletim de suporte sobre a implementação gradual das correções para o
CVE-2023-24932
.
Mídias de recuperação ou instalação precisarão ser atualizadas para que possam funcionar com um dispositivo que tenha as medidas de mitigação aplicadas.
Ontem, a Microsoft lançou um script PowerShell que ajuda você a atualizar mídias bootáveis para que usem o certificado Windows UEFI CA 2023.
"O script PowerShell descrito neste artigo pode ser usado para atualizar mídias bootáveis do Windows para que a mídia possa ser usada em sistemas que confiam no certificado Windows UEFI CA 2023", explica um novo boletim de suporte sobre o script.
O script PowerShell pode ser baixado da Microsoft e pode ser usado para atualizar arquivos de mídia bootável para arquivos de imagem ISO CD/DVD, um drive flash USB, um caminho de drive local ou um caminho de drive de rede.
Para utilizar a utilidade, você deve primeiro baixar e instalar o Windows ADK, que é necessário para que este script funcione corretamente.
Quando executado, o script atualizará os arquivos de mídia para usar o certificado Windows UEFI CA 2023 e instalar os gerenciadores de boot assinados por este certificado.
É fortemente recomendado que administradores do Windows testem esse processo antes que a fase de aplicação das atualizações de segurança seja alcançada.
A Microsoft diz que isso ocorrerá até o final de 2026 e dará um aviso de seis meses antes de começar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...