Microsoft vai levar um ano para corrigir bug explorado em malware
A Microsoft lançou um patch, em 9/5, para corrigir um bug de bypass do Secure Boot, explorado pelo bootkit BlackLotus.A vulnerabilidade original, CVE-2022-21894, foi corrigida em janeiro, mas o novo patch para CVE-2023-24932 aborda uma brecha ativamente explorada para sistemas que executam Windows 10 e 11 e versões do Windows Server desde o Windows Server 2008. Uma solução, no entanto, virá em etapas, como descrito pela MS. Um segundo patch em julho e um terceiro só em 2024.
Apesar do patch de janeiro, presquisadores da ESET apontaram em março uma brecha no UEFI Secure Boot, um recurso do firmware UEFI (Unified Extensible Firmware Interface), sucessor do firmware BIOS (Basic Input/Output System) tradicional encontrado em computadores mais antigos. O Secure Boot foi projetado para garantir que o sistema seja inicializado apenas com software e firmware confiáveis. O bootkit, por outro lado, é um malware que infecta o processo de inicialização de um computador.
O bootkit BlackLotus é o primeiro malware conhecido que pode ignorar as proteções de inicialização do Secure Boot, permitindo a execução de códigos maliciosos antes que o PC comece a carregar o Windows e suas muitas proteções de segurança. O Secure Boot foi ativado por padrão por mais de uma década na maioria dos PCs com Windows vendidos por empresas como Dell, Lenovo, HP, Acer e outras. Os PCs que executam o Windows 11 devem tê-lo ativado para atender aos requisitos de sistema do software.
A Microsoft diz que a vulnerabilidade pode ser explorada por um invasor com acesso físico a um sistema ou direitos de administrador em um sistema. Ele pode afetar PCs físicos e máquinas virtuais com inicialização segura habilitada.
Ao contrário de muitas correções de alta prioridade do Windows, a atualização será desativada por padrão por pelo menos alguns meses após a instalação. Em parte porque, eventualmente, tornará a mídia de inicialização atual do Windows não inicializável. A correção requer alterações no gerenciador de inicialização do Windows que não podem ser revertidas depois de ativadas.
“O recurso Secure Boot controla com precisão a mídia de inicialização que pode ser carregada quando um sistema operacional é iniciado e, se essa correção não for habilitada corretamente, existe o potencial de causar interrupção e impedir a inicialização do sistema”, diz um dos vários Artigos de suporte da Microsoft sobre a atualização.
Assim que as correções forem ativadas, o computador não poderá mais inicializar a partir de uma mídia inicializável mais antiga que não inclua as correções. Na longa lista de mídia afetada: o Windows instala mídia como DVDs e drives USB criados a partir de arquivos ISO da Microsoft; imagens personalizadas de instalação do Windows mantidas pelos departamentos de TI; backups completos do sistema; unidades de inicialização de rede, incluindo aquelas usadas pelos departamentos de TI para solucionar problemas de máquinas e implantar novas imagens do Windows; unidades de inicialização simplificadas que usam o Windows PE; e a mídia de recuperação vendida com PCs OEM.
Para evitar tornar os sistemas de qualquer usuário não inicializáveis, a Microsoft lançará a atualização em fases nos próximos meses. A versão inicial do patch requer intervenção substancial do usuário para habilitar – primeiro você precisa instalar as atualizações de segurança de maio e, em seguida, usar um processo de cinco etapas para aplicar e verificar manualmente um par de “arquivos de revogação” que atualizam a partição de inicialização EFI oculta do sistema e seu registro. Isso fará com que as versões mais antigas e vulneráveis do gerenciador de inicialização não sejam mais confiáveis para os PCs.
Uma segunda atualização virá em julho que não ativará o patch por padrão, mas facilitará a ativação. Uma terceira atualização no “primeiro trimestre de 2024” permitirá a correção por padrão e tornará a mídia de inicialização mais antiga não inicializável em todos os PCs com Windows corrigidos. A Microsoft diz que está “procurando oportunidades para acelerar esse cronograma”, embora não esteja claro o que isso implicaria.
Essa correção não é o único incidente de segurança recente a destacar as dificuldades de corrigir vulnerabilidades de inicialização segura e UEFI de baixo nível. A fabricante de computadores e placas-mãe MSI recentemente teve suas chaves de assinatura vazadas em um ataque de ransomware, e não há uma maneira simples de a empresa dizer a seus produtos para não confiar em atualizações de firmware assinadas com a chave comprometida.
* Com informações da Ars Technica