Hôm qua, Microsoft đã phát hành các bản cập nhật mới để giải quyết lỗ hổng zero-day Secure Boot đã bị mã độc BlackLotus UEFI khai thác để lây nhiễm vào các hệ thống Windows đã áp dụng đầy đủ bản vá.
Secure Boot (khởi động an toàn) là một tính năng bảo mật được thiết kế để chặn các chương trình tải khởi động (bootloader) không được OEM tin cậy trên các máy tính có firmware Unified Extensible Firmware Interface (UEFI) và chip Trusted Platform Module (TPM) để ngăn rootkit được tải trong quá trình khởi động.
Theo Trung tâm phản hồi bảo mật của Microsoft, lỗ hổng (có định danh CVE-2023-24932) đã được sử dụng để bỏ qua các bản vá cho CVE-2022-21894, một lỗ hổng Secure Boot khác đã bị lạm dụng trong các cuộc tấn công BlackLotus vào năm ngoái.
Microsoft cho biết: “Để ngăn chặn các cuộc tấn công này, một bản vá cho CVE-2023-24932 đã được thêm vào bản cập nhật bảo mật ngày 9 tháng 5 năm 2023 nhưng bị tắt theo mặc định”.
"Lỗ hổng cho phép kẻ tấn công thực thi mã tự ký (self-signed code) tại UEFI trong khi Secure Boot được bật”. "Việc khai thác thành công phụ thuộc vào việc kẻ tấn công có quyền truy cập vật lý hoặc quyền quản trị viên cục bộ trên thiết bị bị nhắm mục tiêu".
Tất cả các hệ thống Windows kích hoạt biện pháp bảo vệ Secure Boot đều bị ảnh hưởng bởi lỗ hổng này, bao gồm cả máy chủ vật lý, máy ảo và các hệ thống dựa trên cloud.
Lưu ý rằng các bản vá cho CVE-2023-24932 chỉ khả dụng trên các phiên bản Windows 10, Windows 11 và Windows Server được hỗ trợ.
Để xác định tính năng Secure Boot có đang được bật hay không, bạn có thể chạy lệnh msinfo32 từ Windows command prompt để mở ứng dụng System Information (Thông tin hệ thống).
Trạng thái Secure Boot
Secure Boot được bật nếu bạn thấy thông báo "Secure Boot State ON" (Trạng thái khởi động an toàn BẬT) ở phía bên trái của cửa sổ sau khi chọn " System Summary" (Tóm tắt hệ thống).
Mặc dù các bản cập nhật bảo mật do Redmond phát hành có chứa bản vá Windows boot manager cho CVE-2023-24932 nhưng chúng bị tắt theo mặc định. Để bảo vệ hệ thống của mình, người dùng có thể thực hiện các bước thủ công để triển khai các biện pháp bảo vệ cho CVE-2023-24932 theo hướng dẫn của Microsoft tại đây.
Microsoft đang áp dụng phương pháp tiếp cận theo từng giai đoạn để đưa ra các biện pháp bảo vệ giúp giải quyết lỗ hổng này nhằm làm giảm tác động đến khách hàng do kích hoạt các biện pháp bảo vệ CVE-2023-24932.
Kế hoạch triển khai bao gồm ba giai đoạn:
- Ngày 9 tháng 5 năm 2023: Phát hành bản vá ban đầu cho CVE-2023-24932. Trong lần phát hành này, bản vá yêu cầu Bản cập nhật bảo mật Windows ngày 9 tháng 5 năm 2023 và hành động bổ sung của khách hàng để triển khai đầy đủ các biện pháp bảo vệ.
- Ngày 11 tháng 7 năm 2023: Bản phát hành thứ hai sẽ cung cấp các tùy chọn cập nhật bổ sung để đơn giản hóa việc triển khai biện pháp bảo vệ.
- Quý 1 năm 2024: Bản phát hành cuối cùng này sẽ kích hoạt bản vá cho CVE-2023-24932 theo mặc định và thực thi việc hủy bỏ bootmanager trên tất cả các thiết bị Windows.
Microsoft cũng cảnh báo người dùng rằng không có cách nào để hoàn nguyên các thay đổi sau khi các biện pháp bảo vệ cho CVE-2023-24932 được triển khai đầy đủ.
“Một khi biện pháp bảo vệ này được kích hoạt trên thiết bị, nghĩa là việc hủy bỏ đã được áp dụng, nó sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Secure Boot trên thiết bị đó”. "Ngay cả việc định dạng lại ổ đĩa cũng không thay đổi các hủy bỏ đã được áp dụng".
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Kho lưu trữ phần mềm PHP Packagist tiết lộ rằng một đối tượng đã giành được quyền truy cập vào bốn tài khoản không hoạt động trên nền tảng để chiếm quyền kiểm soát hơn mười package với hơn 500 triệu lượt cài đặt cho đến nay
Tín nhiệm mạng | Người dùng plugin Advanced Custom Fields dành cho WordPress đang được khuyến khích cập nhật lên phiên bản 6.1.6 sau khi lỗ hổng bảo mật mới trong plugin này được phát hiện.
Tín nhiệm mạng | Meta đã thực hiện các bước để gỡ bỏ hơn 1.000 URL độc hại được chia sẻ trên các dịch vụ của mình. Các URL này được phát hiện đã lợi dụng ChatGPT của OpenAI làm mồi nhử để quảng cáo khoảng 10 phần mềm độc hại kể từ tháng 3 năm 2023.
Tín nhiệm mạng | Cisco đã cảnh báo về một lỗ hổng trong giao diện quản lý dựa trên web của các bộ chuyển đổi SPA112 2-Port Phone của Cisco, có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị mà không cần xác thực
Tín nhiệm mạng | Google đã bắt đầu triển khai giải pháp không cần mật khẩu (passwordless solution) cho các Tài khoản Google trên tất cả các nền tảng.
Tín nhiệm mạng | Một hoạt động thực thi pháp luật quốc tế đã dẫn đến việc bắt giữ 288 nhà cung cấp được cho là có liên quan đến việc buôn bán ma túy trên web đen, thêm vào một danh sách dài các doanh nghiệp tội phạm đã bị đóng cửa trong những năm gần đây.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
