Вторник патчей за июль приносит динамические обновления SafeOS для исправления обхода безопасной загрузки
Вчера Microsoft выпустила обновления для Windows 10 (KB5028166) и Windows 11 (KB5028185). Компания на своем веб-сайте панели мониторинга, сделала сопроводительное объявление, объясняющее, что она развернула вторую фазу защиты от уязвимости безопасности буткита BlackLotus UEFI. Microsoft также опубликовала руководство, чтобы помочь пользователям.
Последнее обновление добавляет новейшие пакеты динамического обновления SafeOS для WinRE и упрощает автоматическое развертывание файлов отзыва Secure Boot DBX. База данных запрещенных подписей для безопасной загрузки или DBX для безопасной загрузки от Microsoft — это, по сути, черный список исполняемых файлов UEFI из черного списка, которые были признаны опасными.
Майкрософт пишет:
Выпуск обновлений безопасности для Windows от 11 июля 2023 г. запускает вторую фазу развертывания в KB5025885: как управлять отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932. KB5025885 содержит инструкции по проверке готовности вашей среды к изменениям и действия по включению изменений в систему безопасности для защиты от уязвимостей, отслеживаемых CVE-2023-24932, которые могут обойти функцию безопасности безопасной загрузки с помощью буткита BlackLotus UEFI.
Второй этап развертывания в обновлениях для Windows, выпущенных 11 июля 2023 г. или позже, добавляет следующее:
- Разрешить более простое автоматическое развертывание файлов отзыва (политика загрузки целостности кода и список запрещенных для безопасной загрузки (DBX)).
- Будут доступны новые события журнала событий, чтобы сообщить, было ли развертывание отзыва успешным или нет.
- Пакет динамического обновления SafeOS для среды восстановления Windows (WinRE).
Microsoft обновила журнал изменений для KB5025885:
11 июля 2023 г.
- Обновлены экземпляры даты «9 мая 2023 г.» на «11 июля 2023 г.», «9 мая 2023 г. и 11 июля 2023 г.» или на «9 мая 2023 г. или позже».
- В разделе «Рекомендации по развертыванию» мы отмечаем, что все динамические обновления SafeOS теперь доступны для обновления разделов WinRE. Кроме того, окно ВНИМАНИЕ было удалено, поскольку проблема устранена выпуском динамических обновлений SafeOS.
- В разделе «3. ПРИМЕНИТЬ отзыв» инструкции были изменены.
- В разделе «Ошибки журнала событий Windows» добавлено событие с кодом 276.
В связанных новостях стороннее программное обеспечение, такое как Rufus, с его последним бета-обновлением, добавило обнаружение и предупреждение для всех таких отозванных буткитов UEFI. Также добавлена поддержка ZIP64 и многое другое. Инструмент настройки Windows, NTLite, также добавил такой отзыв менеджера загрузки.