Microsoft выпустилаPowerShell-скрипт, позволяющий администраторам Windows и пользователям обновлять загрузочные носители с использованием нового сертификата Windows UEFI CA 2023. Обновление подготовит системы к введению мер защиты от буткита BlackLotus, который способен обходить Secure Boot и внедрять вредоносное ПО на этапе загрузки.
BlackLotus – это мощный UEFI-буткит, который может отключать защитные механизмы Windows, включая BitLocker, Hypervisor-Protected Code Integrity (HVCI) и Microsoft Defender. В результате злоумышленники получают возможность разворачивать вредоносные программы с максимальными привилегиями, оставаясь незамеченными.
Microsoft выпустила исправления для уязвимости CVE-2023-24932 (оценка CVSS: 6.7) ещё в 2023 году, заблокировав уязвимые загрузчики, которые эксплуатировал BlackLotus. Однако обновления изначально отключены, поскольку их некорректное применение может привести к невозможности загрузки операционной системы. Компания выбрала постепенный подход к внедрению исправлений, позволяя администраторам тестировать их перед окончательным принудительным включением, запланированным до конца 2026 года.
Когда обновление активируется, сертификат Windows UEFI CA 2023 будет добавлен в базу подписей Secure Boot. После этого администраторы смогут устанавливать новые загрузчики, подписанные данным сертификатом. Дополнительно, обновление включает внесение в Secure Boot Forbidden Signature Database (DBX) сертификата Windows Production CA 2011, используемого для подписи устаревших загрузчиков. После его отзыва загрузчики будут считаться недоверенными и не смогут загружаться.
Однако после применения исправлений и обнаружения проблем с загрузкой устройств потребуется обновить установочные носители с использованием нового сертификата. Microsoft предупреждает , что старые установочные и восстановительные носители станут непригодными для работы с обновленными системами.
Чтобы упростить этот процесс, Microsoft представила PowerShell-скрипт, который автоматически обновляет установочные носители, добавляя поддержку Windows UEFI CA 2023. Скрипт предназначен для работы с ISO-образами, USB-накопителями, локальными и сетевыми дисками. Перед запуском утилиты необходимо установить Windows ADK (Assessment and Deployment Kit). После выполнения скрипта установочные файлы обновляются, а установленные загрузчики подписываются новым сертификатом.
Microsoft настоятельно рекомендует администраторам протестировать обновление носителей до начала принудительного включения защиты. Официальное уведомление о введении обязательных мер будет сделано за 6 месяцев до их вступления в силу.