Microsoft condivide la guida per bloccare i gestori di avvio di Windows vulnerabili con il blocco WDAC UEFI

Microsoft ha rilasciato gli aggiornamenti del Patch Tuesday per il mese di maggio 2023 all’inizio di questa settimana su Windows 10 , Windows 11 e Server . Oltre a ciò, il gigante della tecnologia ha anche pubblicato un documento guida per un importante bug di sicurezza. Il gigante di Redmond ha corretto il difetto di sicurezza BlackLotus UEFI che è noto per aggirare misure come Secure Boot, VBS, BitLocker, Defender. Microsoft aveva già pubblicato in precedenza una guida su come rilevare un sistema compromesso dal bootkit BlackLotus UEFI. Un bootkit è essenzialmente un Boot Manager dannoso di Windows.

Il problema viene monitorato in CVE-2023-24932 e Microsoft ha dichiarato che Patch Tuesday ha segnato la fase di distribuzione iniziale della correzione di sicurezza. Nel caso te lo fossi perso, la società ha anche apportato alcune modifiche al suo articolo di supporto sotto KB5025885.

In seguito, oggi, Microsoft ha anche pubblicato un articolo di orientamento che illustra come bloccare i Boot Manager o i bootkit di Windows vulnerabili. La società spiega che l’elenco Secure Boot DBX contiene già alcuni dei file binari dell’applicazione UEFI vulnerabili, ma è limitato in termini di spazio di archiviazione in quanto si trova sulla memoria flash del firmware. Pertanto, l’elenco di revoche DBX o UEFI può contenere solo un numero limitato di tali file. Per chi non lo sapesse, il Secure Boot Forbidden Signature Database o DBX è fondamentalmente un elenco di blocco per gli eseguibili UEFI nella lista nera che sono stati ritenuti dannosi o dannosi.

Pertanto, invece di fare affidamento solo su Secure Boot DBX, Microsoft consiglia di utilizzare il criterio Windows Defender Application Control (WDAC) , disponibile su Windows 10 e Windows 11. Puoi trovare dettagli su come creare i criteri di blocco UEFI sul articolo di supporto ufficiale sotto KB5027455.