Security Week 2320: патч Microsoft выключит старые загрузочные носители

В ближайшем будущем загрузочные диски и флешки с Windows могут перестать работать. Виной тому — патчи Microsoft для уязвимости, позволяющей обходить систему защиты Secure Boot. Проблему, обнаруженную еще в прошлом году, подробно описала компания ESET: по данным экспертов, это первый случай, когда обход Secure Boot активно используют в реальном вредоносном программном обеспечении, а конкретно — в бутките BlackLotus.

i_rqayed0-aj92hff46peltt4eq.jpeg


Как сообщает издание Ars Technica, помимо изначальной уязвимости CVE-2022–21894, задокументированной в январе 2022 года, обходить защиту Secure Boot также можно с помощью схожей проблемы с идентификатором CVE-2023–24932. В обоих случаях атакующие используют штатные компоненты Windows. Для решения проблемы, таким образом, нужен не только выпуск патчей, но и запрет на выполнение старых легитимных версий ПО. Вследствие этого запускать старые загрузочные носители будет невозможно.
Для атаки с использованием данных уязвимостей нужен либо физический доступ к компьютеру, либо возможность выполнения кода с правами администратора. В случае успеха вредоносное ПО получает постоянный и полный доступ к системе, а также способность восстанавливаться даже после переустановки. По данным ESET, буткит BlackLotus успешно подменяет штатный загрузочный менеджер Windows на свой собственный. Простым патчем такую проблему не решить: атакующие могут вызвать перезагрузку компьютера и провести атаку с использованием непропатченных, но подписанных и легитимных версий ПО от Microsoft. Отсюда возникает необходимость добавить такие библиотеки в черный список — с запретом их выполнения.

К чему это приведет, подробно описывается в техническом документе на сайте Microsoft. Актуальную версию патча, вышедшую 9 мая, можно активировать только вручную, причем по довольно сложной процедуре. Сейчас у администраторов есть время на обновление загрузочных носителей. Следующий апдейт, запланированный на июль, также не будет автоматическим, но процедура его активации упростится. Наконец, финальным шагом, запланированным на начало следующего года, станет окончательный запрет на запуск загрузочных образов Windows, созданных до 9 мая 2023 года.

Столь длительное время, отведенное на устранение достаточно опасной уязвимости, вполне обосновано: речь идет не только о загрузочных образах Windows, которые можно скачать с сайта Microsoft. Под удар попадают и кастомные носители, создаваемые IT-администраторами в компаниях, а также резервные копии. Внедрение подобного патча способно нарушить сразу множество процессов в организациях, причем процессов чувствительных, связанных с восстановлением данных.

Что еще произошло:

Еще одна похожая проблема без простого решения: расследуется утечка ключей для системы Intel Boot Guard, произошедшая в результате атаки на компанию MSI. Теоретически данная утечка позволяет создавать вредоносные версии прошивок для устройств этого производителя.

Эксперты «Лаборатории Касперского» обсуждают свежие тенденции в развитии программ-вымогателей. Среди предсказаний на ближайшее будущее — расширение функциональности подобного вредоносного ПО (например, самостоятельное распространение), а также широкое использование уязвимых драйверов для легитимного ПО.

Издание Fortune рассказывает о курьезном конфликте системы голосового управления Google с песней Where is my mind? группы Pixies. В начале трека произносится слово stop. Если эта песня поставлена в качестве мелодии будильника, воспроизведение начинается и тут же останавливается, так как смартфон воспринимает слово stop как голосовую команду от пользователя.

The Register сообщает о борьбе Google со спамом в собственном календаре. С недавнего времени календарь Google показывает приглашения на встречи только от известных контактов: это позволяет фильтровать спам, эксплуатирующий подобную функциональность. Естественно, такое вроде бы полезное нововведение сразу сломало совместимость календарей Google с рядом сторонних сервисов, генерирующих встречи для пользователей.

Apple пропатчила Bluetooth-модуль в собственных наушниках. Апдейт закрывает уязвимость, которая теоретически позволяет атакующему перехватить контроль над беспроводным устройством.

© Habrahabr.ru