Microsoft deelt handleiding voor het blokkeren van kwetsbare Windows-opstartmanagers met WDAC UEFI-vergrendeling

Microsoft heeft eerder deze week Patch Tuesday-updates voor de maand mei 2023 uitgebracht voor Windows 10 , Windows 11 en Server . Daarnaast publiceerde de techgigant ook een document met richtlijnen voor een grote beveiligingsbug. De Redmond-gigant heeft de BlackLotus UEFI-beveiligingsfout gepatcht waarvan bekend is dat deze maatregelen zoals Secure Boot, VBS, BitLocker en Defender omzeilt . Microsoft had eerder al een handleiding gepubliceerd over het detecteren van een systeem dat is aangetast door BlackLotus UEFI-bootkit. Een bootkit is in wezen een kwaadaardige Windows Boot Manager.

Het probleem wordt gevolgd onder CVE-2023-24932 en Microsoft verklaarde dat Patch Tuesday de eerste implementatiefase van de beveiligingsoplossing markeerde . Voor het geval je het gemist hebt, het bedrijf heeft ook enkele wijzigingen aangebracht in het ondersteuningsartikel onder KB5025885.

Daarna publiceerde Microsoft eerder vandaag ook een begeleidingsartikel waarin wordt uiteengezet hoe men kwetsbare Windows Boot Managers of bootkits kan blokkeren. Het bedrijf legt uit dat de Secure Boot DBX-lijst al enkele van de kwetsbare binaire bestanden van de UEFI-toepassing bevat, maar dat deze beperkt is in termen van opslag, aangezien deze zich in het flash-geheugen van de firmware bevindt. Daarom kan de DBX- of UEFI-intrekkingslijst slechts een beperkt aantal van dergelijke bestanden bevatten. Voor degenen die het niet weten, de Secure Boot Forbidden Signature Database of DBX is in feite een blokkeerlijst voor op de zwarte lijst geplaatste UEFI-uitvoerbare bestanden waarvan is vastgesteld dat ze slecht of schadelijk zijn.

Daarom adviseert Microsoft, in plaats van alleen te vertrouwen op de Secure Boot DBX, het gebruik van Windows Defender Application Control (WDAC) -beleid, dat beschikbaar is op Windows 10 en Windows 11. Details over het maken van het UEFI-vergrendelingsbeleid vindt u op de officieel ondersteuningsartikel onder KB5027455.