微軟：週二最新補丁帶來 SafeOS 動態更新以修復安全啟動繞過問題

今天早些時候，微軟發布了Windows 10 (KB5028166)和Windows 11 (KB5028185)的周二補丁更新。該公司在其健康儀表板網站上發布了一份附帶聲明，解釋說它已經部署了針對BlackLotus UEFI bootkit 安全漏洞的第二階段強化。Microsoft還發布了指導帖子來幫助用戶。

最新更新添加了適用於 WinRE 的最新 SafeOS 動態更新包，並帶來了安全啟動 DBX 吊銷文件的更輕鬆的自動化部署。Microsoft 的安全啟動禁止簽名數據庫或安全啟動 DBX 基本上是已發現危險的黑名單 UEFI 可執行文件的阻止列表。

微軟寫道：

2023 年 7 月 11 日發布的 Windows 安全更新啟動了 KB5025885 中的第二部署階段：如何管理與CVE-2023-24932相關的安全啟動更改的 Windows 啟動管理器吊銷。KB5025885 包含驗證您的環境是否已準備好進行更改的手動步驟，以及啟用安全強化更改以防止 CVE-2023-24932 跟踪的漏洞的步驟，這些漏洞可以使用 BlackLotus UEFI bootkit 繞過安全啟動安全功能。

2023 年 7 月 11 日或之後發布的 Windows 更新的第二部署階段添加了以下內容：

• 允許更輕鬆地自動部署吊銷文件（代碼完整性啟動策略和安全啟動禁止列表 (DBX)）。
• 新的事件日誌事件將可用於報告吊銷部署是否成功。
• 適用於 Window 恢復環境 (WinRE) 的 SafeOS 動態更新包。

Microsoft 還更新了KB5025885 支持文章的變更日誌：

2023 年 7 月 11 日

• 將“2023年5月9日”日期的實例更新為“2023年7月11日”、“2023年5月9日和2023年7月11日”或“2023年5月9日或之後”。
• 在“部署指南”部分中，我們注意到所有 SafeOS 動態更新現在均可用於更新 WinRE 分區。此外，“警告”框已被刪除，因為該問題已通過 SafeOS 動態更新的發布得到解決。
• 在“3. 應用撤銷”部分，對說明進行了修訂。
• 在“Windows 事件日誌錯誤”部分中，添加了事件 ID 276。

在相關新聞中，Rufus 等第三方軟件及其最新的測試版更新增加了對所有此類已撤銷 UEFI bootkit 的檢測和警告。它還添加了對 ZIP64 等的支持。Windows 配置工具 NTLite 也添加了此類啟動管理器撤銷。