A Microsoft disponibilizou um novo script do PowerShell para auxiliar usuários e administradores do Windows na atualização da mídia inicializável. O objetivo é garantir a utilização do certificado “Windows UEFI CA 2023”, essencial para as mitigações contra o bootkit BlackLotus UEFI, previstas para serem aplicadas ainda este ano.
Microsoft lança script para atualizar mídia inicializável contra bootkit BlackLotus
O que é o bootkit BlackLotus?
O BlackLotus é um bootkit UEFI capaz de contornar o Secure Boot e assumir controle do processo de inicialização do Windows. Uma vez ativo, ele pode desativar mecanismos de segurança críticos, como o BitLocker, o Hypervisor-Protected Code Integrity (HVCI) e o Microsoft Defender Antivirus. Isso permite a implantação de malware com altos níveis de privilégio, tornando-se praticamente indetectável.
Atualizações de segurança da Microsoft
Para combater essa ameaça, a Microsoft lançou atualizações de segurança em março de 2023 e julho de 2024 para corrigir uma falha rastreada como CVE-2023-24932. Essas correções revogam gerenciadores de inicialização vulneráveis utilizados pelo BlackLotus.
No entanto, essa proteção permanece desativada por padrão para evitar falhas que possam impedir o carregamento do sistema operacional. A Microsoft optou por uma implementação gradual, permitindo testes antes da aplicação definitiva, prevista para ocorrer até 2026.
Importância do certificado “Windows UEFI CA 2023”
Quando ativada, a correção adiciona o certificado “Windows UEFI CA 2023” ao “Secure Boot Signature Database” da UEFI, garantindo que apenas gerenciadores de inicialização assinados por ele sejam confiáveis. Além disso, a atualização também modifica o “Secure Boot Forbidden Signature Database (DBX)”, incluindo o certificado “Windows Production CA 2011”, que será revogado, impedindo a execução de gerenciadores vulneráveis.
Notícias Relacionadas
Segurança digital
Cibercriminosos usam ferramentas legítimas para 13 milhões de ataques a contas
Cibercriminosos estão explorando ferramentas legítimas de cliente HTTP, como Go Resty e Node Fetch, para ataques de tomada de conta (ATO) em ambientes Microsoft 365. Campanhas recentes registraram 13 milhões de tentativas de pulverização de senhas, afetando milhares de organizações.
Falha corrigida
AMD corrige falha de segurança no SEV contra microcódigo malicioso
A AMD corrigiu uma falha que permitia a execução de microcódigo malicioso, comprometendo a segurança do Secure Encrypted Virtualization (SEV). A vulnerabilidade foi revelada por pesquisadores do Google e afeta CPUs AMD Zen.
Caso as mitigações sejam aplicadas e o sistema enfrente dificuldades para inicializar, é necessário atualizar a mídia inicializável para utilizar o certificado atualizado e evitar problemas na reinstalação do Windows.
Novo script do PowerShell
Para facilitar esse processo, a Microsoft disponibilizou um script do PowerShell que permite atualizar a mídia inicializável do Windows para utilizar o certificado “Windows UEFI CA 2023”. O script pode ser utilizado para modificar arquivos de imagem de CD/DVD ISO, unidades flash USB, caminhos de unidade local ou unidades de rede.
Antes de executar o script, é necessário instalar o Windows ADK, ferramenta essencial para seu funcionamento adequado. Ao ser executado, o script atualiza os arquivos da mídia inicializável, garantindo que os novos gerenciadores de inicialização sejam assinados com o certificado correto.
A Microsoft recomenda que administradores testem esse processo antes da implementação definitiva das atualizações de segurança. A previsão é que a empresa forneça um aviso prévio de seis meses antes da aplicação obrigatória da mitigação, garantindo tempo suficiente para ajustes necessários.
