Microsoft 分享了使用 WDAC UEFI 鎖阻止易受攻擊的 Windows 啟動管理器的指南

微軟本週早些時候在Windows 10、Windows 11和服務器上發布了 2023 年 5 月的補丁星期二更新。除此之外，這家科技巨頭還發布了一份針對重大安全漏洞的指導文件。Redmond 巨頭已經修補了 BlackLotus UEFI 安全漏洞，已知該漏洞可以繞過Secure Boot、VBS、BitLocker、Defender 等措施。微軟之前已經發布了一份關於如何檢測被 BlackLotus UEFI bootkit 破壞的系統的指南。bootkit 本質上是一種惡意的 Windows 啟動管理器。

該問題正在 CVE-2023-24932 下進行跟踪，微軟表示週二補丁標誌著安全修復的初始部署階段。萬一你錯過了，該公司還對其 KB5025885 下的支持文章進行了一些修改。

隨後，今天早些時候，微軟還發布了一篇指南文章，概述瞭如何阻止易受攻擊的 Windows 啟動管理器或 bootkit。該公司解釋說，安全啟動 DBX 列表已經包含一些易受攻擊的 UEFI 應用程序二進製文件，但它在存儲方面受到限制，因為它位於固件閃存中。因此，DBX 或 UEFI 撤銷列表只能包含有限數量的此類文件。對於那些不知道的人，安全啟動禁止簽名數據庫或 DBX 基本上是一個黑名單，用於發現不良或有害的黑名單 UEFI 可執行文件。

因此，微軟建議使用Windows Defender 應用程序控制 (WDAC)策略，而不是僅僅依賴安全啟動 DBX，它在 Windows 10 和 Windows 11 上可用。您可以在以下位置找到有關如何創建 UEFI 鎖定策略的詳細信息KB5027455下的官方支持文章。