A Microsoft tem enviou um lote de patches de segurança para resolver uma falha significativa no Unified Extensible Firmware Interface (UEFI) no Windows 11 e no Windows 10. Essa vulnerabilidade pode permitir que agentes de ameaças ignorem a inicialização segura e outras medidas de segurança no Windows. Conhecido como BlackLotus, o malware que pode explorar o bug permitiria que invasores desativassem a segurança no Windows Defender e no BitLocker.
BlackLotus é um malware UEFI bootkit que foi descoberto pela primeira vez por pesquisadores de segurança da Bitdefender em dezembro de 2022. É o primeiro malware desse tipo a escapar com sucesso do Secure Boot, um recurso que impede que os dispositivos Windows executem código não confiável no nível do firmware.
O BlackLotus usa uma falha que existe há mais de um ano (CVE-2023-24932) para contornar o UEFI Secure Boot e definir up persistência para o bootkit.
Como parte do Patch Tuesday de maio de 2023, a Microsoft está lançando patches para CVE-2023-24932 na atualização KB5025885 como a primeira fase de implantação para corrigir a vulnerabilidade:
“9 de maio de 2023 – Fase inicial de implantação
Nesta versão, para mitigar o CVE-2023-24932, as atualizações do Windows para 9 de maio de 2023 incluirão:
Atualizações para Windows lançadas a partir de 9 de maio de 2023 para solucionar as vulnerabilidades discutidas no CVE-2023-24932. Alterações nos componentes de inicialização do Windows. Dois arquivos de revogação que podem ser aplicados manualmente (uma política de integridade de código e uma atualização Lista de bloqueio de inicialização segura (DBX)).”
Uma atualização manual é necessária para instalar a correção
No entanto, as atualizações não são habilitadas por padrão em dispositivos Windows. Os usuários precisarão seguir estas etapas para instalar manualmente as atualizações e proteger seus sistemas:
Instale o May 9 de 2023 em todas as versões compatíveis do Windows e reinicie o dispositivo antes de aplicar as revogações. Atualize sua mídia inicializável com atualizações do Windows lançadas a partir de 9 de maio de 2023. Se você não criar sua própria mídia, precisará obter a mídia oficial atualizada da Microsoft ou do fabricante do seu dispositivo (OEM). Aplique revogações para se proteger contra a vulnerabilidade em CVE-2023-24932.
A Microsoft também forneceu uma ferramenta para verificar se um dispositivo está infectado por BlackLotus ou outro malware UEFI. Os usuários podem baixar e executar a ferramenta de verificação offline do Microsoft Defender aqui.
Quais são os planos da Microsoft para mitigação futura?
Como esta é a primeira fase de correção, ela fortalecerá totalmente o Windows 11 e o Windows 10 contra o BlackLotus problemas. A Microsoft diz que a correção está sendo lançada em três fases. Após a primeira implantação no Patch Tuesday de 9 de maio, a segunda fase chegará em 11 de julho de 2023 e será uma implantação opcional para simplificar o lançamento das correções de segurança. A fase final será lançada no primeiro trimestre de 2024 e é uma implantação padrão que permite a correção como padrão no Secure Boot Manager.
Dica do dia: o histórico de arquivos é um Windows recurso de backup que salva cada versão dos arquivos nas pastas Documentos, Imagens, Vídeos, Área de Trabalho e Offline do OneDrive. Embora seu nome implique um foco principal no controle de versão, você pode realmente usá-lo como uma ferramenta de backup completa para seus documentos importantes.
