Microsoft udostępnia przewodnik dotyczący blokowania wrażliwych menedżerów rozruchu systemu Windows za pomocą blokady WDAC UEFI

Firma Microsoft wydała aktualizacje Patch Tuesday na maj 2023 r. na początku tego tygodnia w systemach Windows 10 , Windows 11 i Server . Oprócz tego gigant technologiczny opublikował także wytyczne dotyczące poważnego błędu bezpieczeństwa. Gigant z Redmond załatał lukę w zabezpieczeniach BlackLotus UEFI, o której wiadomo, że omija środki takie jak Secure Boot, VBS, BitLocker, Defender. Microsoft już wcześniej opublikował poradnik, jak wykryć system zaatakowany przez bootkita BlackLotus UEFI. Bootkit to zasadniczo złośliwy Menedżer rozruchu systemu Windows.

Problem jest śledzony pod numerem CVE-2023-24932, a Microsoft stwierdził, że Patch Tuesday oznacza początkową fazę wdrażania poprawki bezpieczeństwa. Na wypadek, gdybyś to przegapił, firma wprowadziła również pewne modyfikacje do swojego artykułu pomocy technicznej pod KB5025885.

Następnie, wcześniej, Microsoft opublikował również artykuł ze wskazówkami opisujący, w jaki sposób można zablokować podatne na ataki menedżery rozruchu systemu Windows lub bootkity. Firma wyjaśnia, że ​​lista Secure Boot DBX zawiera już niektóre podatne na ataki pliki binarne aplikacji UEFI, ale jest ograniczona pod względem przechowywania, ponieważ znajduje się w pamięci flash oprogramowania układowego. W związku z tym lista odwołań DBX lub UEFI może zawierać tylko ograniczoną liczbę takich plików. Dla nieświadomych, baza danych Secure Boot Forbidden Signature Database lub DBX to w zasadzie lista zablokowanych plików wykonywalnych UEFI z czarnej listy, które zostały uznane za złe lub szkodliwe.

Dlatego zamiast polegać tylko na Bezpiecznym rozruchu DBX, Microsoft zaleca korzystanie z zasady Windows Defender Application Control (WDAC) , która jest dostępna w systemach Windows 10 i Windows 11. Szczegółowe informacje na temat tworzenia zasad blokowania UEFI można znaleźć na stronie oficjalny artykuł pomocy pod KB5027455.