Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.
Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.
Menurut a Posting blog Pusat Respons Keamanan Microsoftkelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894bug Boot Aman lainnya disalahgunakan Serangan Teratai Hitam tahun lalu.
“Untuk melindungi dari serangan ini, perbaikan untuk boot manager Windows (CVE-2023-24932) disertakan dalam rilis pembaruan keamanan 9 Mei 2023, tetapi dinonaktifkan secara default dan tidak akan memberikan perlindungan,” kata perusahaan itu.
“Kerentanan ini memungkinkan penyerang untuk mengeksekusi kode yang ditandatangani sendiri di tingkat Unified Extensible Firmware Interface (UEFI) saat Boot Aman diaktifkan.
“Ini digunakan oleh pelaku ancaman terutama sebagai mekanisme penghindaran pertahanan dan kegigihan. Eksploitasi yang berhasil bergantung pada penyerang yang memiliki akses fisik atau hak istimewa admin lokal pada perangkat yang ditargetkan.”
Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.
Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.
Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan msinfo32 perintah dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.
Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”
Langkah manual diperlukan untuk memitigasi CVE-2023-24932
Sementara pembaruan keamanan yang dirilis hari ini oleh Redmond berisi perbaikan boot manager Windows, mereka dinonaktifkan secara default dan tidak akan menghapus vektor serangan yang dieksploitasi dalam serangan BlackLotus.
Untuk mempertahankan perangkat Windows mereka, pelanggan harus menjalani prosedur yang memerlukan beberapa langkah manual “untuk memperbarui media yang dapat di-boot dan menerapkan pencabutan sebelum mengaktifkan pembaruan ini.”
Untuk mengaktifkan perlindungan secara manual untuk bug bypass Secure Boot CVE-2023-24932, Anda harus melalui langkah-langkah berikut dalam urutan yang tepat (jika tidak, sistem tidak akan bisa boot lagi):
- INSTALL 9 Mei 2023, pembaruan pada semua sistem yang terpengaruh.
- MEMPERBARUI media yang dapat di-boot dengan pembaruan Windows yang dirilis pada atau setelah 9 Mei 2023. Jika Anda tidak membuat media sendiri, Anda perlu mendapatkan media resmi yang diperbarui dari Microsoft atau produsen perangkat (OEM) Anda.
- MENERAPKAN pencabutan untuk melindungi terhadap kerentanan di CVE-2023-24932.
Microsoft juga mengambil pendekatan bertahap untuk menegakkan perlindungan yang mengatasi kelemahan keamanan ini untuk mengurangi dampak pelanggan karena mengaktifkan perlindungan CVE-2023-24932.
Garis waktu peluncuran termasuk tiga fase:
- 9 Mei 2023: Perbaikan awal untuk CVE-2023-24932 dirilis. Dalam rilis ini, perbaikan ini memerlukan Pembaruan Keamanan Windows 9 Mei 2023 dan tindakan pelanggan tambahan untuk menerapkan perlindungan sepenuhnya.
- 11 Juli 2023: Rilis kedua akan memberikan opsi pembaruan tambahan untuk menyederhanakan penerapan perlindungan.
- Kuartal pertama 2024: Rilis final ini akan mengaktifkan perbaikan untuk CVE-2023-24932 secara default dan menerapkan pencabutan bootmanager di semua perangkat Windows.
Microsoft juga memperingatkan pelanggan bahwa tidak ada cara untuk mengembalikan perubahan setelah mitigasi CVE-2023-24932 diterapkan sepenuhnya.
“Setelah mitigasi untuk masalah ini diaktifkan pada perangkat, artinya pencabutan telah diterapkan, itu tidak dapat dikembalikan jika Anda terus menggunakan Boot Aman pada perangkat itu,” kata Microsoft.
“Bahkan memformat ulang disk tidak akan menghapus pencabutan jika sudah diterapkan.”
Pembaruan: Judul yang direvisi untuk menjelaskan bahwa ini adalah perbaikan opsional.
