Microsoft делится руководством по блокировке уязвимых диспетчеров загрузки Windows с помощью блокировки WDAC UEFI

На этой неделе Microsoft выпустила обновления в рамках Patch Tuesda за май 2023 года для Windows 10, Windows 11 и Windows Server. Наряду с этим компания также опубликовала руководство по серьезной ошибке безопасности. Microsoft исправила уязвимость безопасности BlackLotus UEFI, которая, как известно, обходит такие меры, как Secure Boot, VBS, BitLocker и Defender. Ранее Microsoft уже опубликовала руководство о том, как обнаружить систему, скомпрометированную буткитом BlackLotus UEFI. Буткит — это, по сути, вредоносный диспетчер загрузки Windows.

Проблема описано под обозначением CVE-2023-24932, и Microsoft заявила, что Patch Tuesday ознаменовал начальную фазу развертывания исправления безопасности. Если вы пропустили, то компания также внесла некоторые изменения в статью поддержки KB5025885.

Вслед за этим Microsoft также опубликовала руководство, в котором описано, как можно блокировать уязвимые диспетчеры загрузки Windows или буткиты. Компания объясняет, что список Secure Boot DBX уже содержит некоторые уязвимые двоичные файлы приложений UEFI, но он ограничен с точки зрения хранения, поскольку он находится во флэш-памяти прошивки. Следовательно, список отзыва DBX или UEFI может содержать только ограниченное количество таких файлов. Для тех, кто не знает, Secure Boot Forbidden Signature Database или DBX — это, по сути, блок-список исполняемых файлов UEFI, занесенных в черный список, которые были признаны плохими или вредоносными.

Поэтому вместо того, чтобы просто полагаться на Secure Boot DBX, Microsoft рекомендует использовать политику Windows Defender Application Control (WDAC), которая доступна в Windows 10 и Windows 11. Вы можете найти подробную информацию о том, как создать политики блокировки UEFI, в статье поддержки KB5027455.