Microsoft compartilha guia para bloquear gerenciadores de inicialização vulneráveis ​​do Windows com bloqueio WDAC UEFI

A Microsoft lançou as atualizações do Patch Tuesday para o mês de maio de 2023 no início desta semana no Windows 10 , Windows 11 e Server . Além disso, a gigante da tecnologia também publicou um documento de orientação para um grande bug de segurança. A gigante de Redmond corrigiu a falha de segurança BlackLotus UEFI, que é conhecida por contornar medidas como Secure Boot, VBS, BitLocker, Defender. A Microsoft já havia publicado anteriormente um guia sobre como detectar um sistema comprometido pelo bootkit BlackLotus UEFI. Um bootkit é essencialmente um gerenciador de inicialização malicioso do Windows.

O problema está sendo rastreado em CVE-2023-24932, e a Microsoft afirmou que o Patch Tuesday marcou a fase inicial de implantação da correção de segurança. Caso você tenha perdido, a empresa também fez algumas modificações em seu artigo de suporte em KB5025885.

Depois disso, hoje cedo, a Microsoft também publicou um artigo de orientação descrevendo como alguém pode bloquear gerenciadores de inicialização ou bootkits vulneráveis ​​do Windows. A empresa explica que a lista Secure Boot DBX já contém alguns dos binários de aplicativos UEFI vulneráveis, mas é limitada em termos de armazenamento, pois está na memória flash do firmware. Portanto, a lista de revogação DBX ou UEFI pode conter apenas um número limitado desses arquivos. Para quem não sabe, o Secure Boot Forbidden Signature Database ou DBX é basicamente uma lista de bloqueio para executáveis ​​UEFI na lista negra que foram considerados ruins ou prejudiciais.

Portanto, em vez de confiar apenas no Secure Boot DBX, a Microsoft aconselha o uso da política Windows Defender Application Control (WDAC) , que está disponível no Windows 10 e Windows 11. Você pode encontrar detalhes sobre como criar as políticas de bloqueio UEFI no artigo de suporte oficial em KB5027455.