🔥 Ủy ban nhân thị trấn Đăk Hà, huyện Đăk Hà, tỉnh Kon tum đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Đầu tư, khai thác thủy lợi và nước sạch nông thôn đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Chất Bình đã đăng ký tín nhiệm. 🔥                    🔥 Cổng dịch vụ công tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện 09 đã đăng ký tín nhiệm. 🔥                   

Microsoft phát hành bản vá tùy chọn cho lỗ hổng zero-day Secure Boot đã bị khai thác để lây nhiễm mã độc

10/05/2023

Hôm qua, Microsoft đã phát hành các bản cập nhật mới để giải quyết lỗ hổng zero-day Secure Boot đã bị mã độc BlackLotus UEFI khai thác để lây nhiễm vào các hệ thống Windows đã áp dụng đầy đủ bản vá.

Secure Boot (khởi động an toàn) là một tính năng bảo mật được thiết kế để chặn các chương trình tải khởi động (bootloader) không được OEM tin cậy trên các máy tính có firmware Unified Extensible Firmware Interface (UEFI) và chip Trusted Platform Module (TPM) để ngăn rootkit được tải trong quá trình khởi động.

Theo Trung tâm phản hồi bảo mật của Microsoft, lỗ hổng (có định danh CVE-2023-24932) đã được sử dụng để bỏ qua các bản vá cho CVE-2022-21894, một lỗ hổng Secure Boot khác đã bị lạm dụng trong các cuộc tấn công BlackLotus vào năm ngoái.

Microsoft cho biết: “Để ngăn chặn các cuộc tấn công này, một bản vá cho CVE-2023-24932 đã được thêm vào bản cập nhật bảo mật ngày 9 tháng 5 năm 2023 nhưng bị tắt theo mặc định”.

"Lỗ hổng cho phép kẻ tấn công thực thi mã tự ký (self-signed code) tại UEFI trong khi Secure Boot được bật”. "Việc khai thác thành công phụ thuộc vào việc kẻ tấn công có quyền truy cập vật lý hoặc quyền quản trị viên cục bộ trên thiết bị bị nhắm mục tiêu".

Tất cả các hệ thống Windows kích hoạt biện pháp bảo vệ Secure Boot đều bị ảnh hưởng bởi lỗ hổng này, bao gồm cả máy chủ vật lý, máy ảo và các hệ thống dựa trên cloud.

Lưu ý rằng các bản vá cho CVE-2023-24932 chỉ khả dụng trên các phiên bản Windows 10, Windows 11 và Windows Server được hỗ trợ.

Để xác định tính năng Secure Boot có đang được bật hay không, bạn có thể chạy lệnh msinfo32 từ Windows command prompt để mở ứng dụng System Information (Thông tin hệ thống).

Trạng thái Secure Boot

Secure Boot được bật nếu bạn thấy thông báo "Secure Boot State ON" (Trạng thái khởi động an toàn BẬT) ở phía bên trái của cửa sổ sau khi chọn " System Summary" (Tóm tắt hệ thống).

Mặc dù các bản cập nhật bảo mật do Redmond phát hành có chứa bản vá Windows boot manager cho CVE-2023-24932 nhưng chúng bị tắt theo mặc định. Để bảo vệ hệ thống của mình, người dùng có thể thực hiện các bước thủ công để triển khai các biện pháp bảo vệ cho CVE-2023-24932 theo hướng dẫn của Microsoft tại đây.

Microsoft đang áp dụng phương pháp tiếp cận theo từng giai đoạn để đưa ra các biện pháp bảo vệ giúp giải quyết lỗ hổng này nhằm làm giảm tác động đến khách hàng do kích hoạt các biện pháp bảo vệ CVE-2023-24932.

Kế hoạch triển khai bao gồm ba giai đoạn:

- Ngày 9 tháng 5 năm 2023: Phát hành bản vá ban đầu cho CVE-2023-24932. Trong lần phát hành này, bản vá yêu cầu Bản cập nhật bảo mật Windows ngày 9 tháng 5 năm 2023 và hành động bổ sung của khách hàng để triển khai đầy đủ các biện pháp bảo vệ.

- Ngày 11 tháng 7 năm 2023: Bản phát hành thứ hai sẽ cung cấp các tùy chọn cập nhật bổ sung để đơn giản hóa việc triển khai biện pháp bảo vệ.

- Quý 1 năm 2024: Bản phát hành cuối cùng này sẽ kích hoạt bản vá cho CVE-2023-24932 theo mặc định và thực thi việc hủy bỏ bootmanager trên tất cả các thiết bị Windows.

Microsoft cũng cảnh báo người dùng rằng không có cách nào để hoàn nguyên các thay đổi sau khi các biện pháp bảo vệ cho CVE-2023-24932 được triển khai đầy đủ.

“Một khi biện pháp bảo vệ này được kích hoạt trên thiết bị, nghĩa là việc hủy bỏ đã được áp dụng, nó sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Secure Boot trên thiết bị đó”. "Ngay cả việc định dạng lại ổ đĩa cũng không thay đổi các hủy bỏ đã được áp dụng".

Nguồn: bleepingcomputer.com.

scrolltop