Microsoft a publié un correctif pour une vulnérabilité de contournement de démarrage sécurisé qui permettait aux pirates de déployer le bootkit BlackLotus (s’ouvre dans un nouvel onglet) pour cibler les points finaux – cependant, la mise à jour restera inactive sur les ordinateurs pendant des mois avant d’être réellement utilisée, car son application est quelque peu compliquée.
La vulnérabilité d’origine est identifiée comme CVE-2022-21894, et celle-ci a été corrigée au début de 2023. Cependant, les pirates ont rapidement trouvé des moyens de contourner le correctif tout en continuant à déployer BlackLotus sur Windows 10, Windows 11 et plusieurs versions de Windows Server. Par conséquent, CVE-2023-24932 a été résolu plus tôt cette semaine.
Mais afin de résoudre complètement le problème, Microsoft doit apporter des modifications irréversibles au gestionnaire de démarrage Windows. Par conséquent, le correctif rendra le support de démarrage Windows actuel non démarrable.
Bricker des PC
« La fonctionnalité Secure Boot contrôle avec précision le support de démarrage qui est autorisé à se charger lorsqu’un système d’exploitation est lancé, et si ce correctif n’est pas correctement activé, il est possible de provoquer une interruption et d’empêcher un système de démarrer », a déclaré Microsoft dans un communiqué. mise à jour (s’ouvre dans un nouvel onglet).
En d’autres termes, ne pas faire attention à la façon dont le correctif est appliqué pourrait bloquer l’appareil qui l’installe.
Pour rendre les choses encore plus compliquées, le périphérique avec le correctif ne pourra pas démarrer à partir d’un support de démarrage plus ancien et non corrigé. Cela inclut les sauvegardes système, les lecteurs de démarrage réseau, les DVD d’installation de Windows et les clés USB créés à partir de fichiers ISO, et plus encore.
Évidemment, Microsoft ne veut pas briquer les ordinateurs des gens, donc la mise à jour sera déployée par phases, au cours des deux prochains mois. Il y aura plusieurs versions du correctif, chacune un peu plus facile à activer. Apparemment, la troisième mise à jour activera le correctif pour tout le monde, et elle devrait être publiée au premier trimestre 2024.
BlackLotus est le premier bootkit connu pour être utilisé dans la nature pour contourner les protections Secure Boot. Les pirates ont besoin d’un accès physique à l’appareil ou d’un compte avec des privilèges d’administrateur système.
Via : ArsTechnica (s’ouvre dans un nouvel onglet)