Microsoft ha risolto tre vulnerabilità zero-day con le patch di sicurezza rilasciate ieri sera. Una di esse aggiunge la protezione contro BlackLotus, un bootkit UEFI che sfrutta una vulnerabilità del Secure Boot. La patch è opzionale (solo per i dispositivi supportati) e richiede l’intervento manuale dell’utente.
Protezione in tre fasi
La vulnerabilità CVE-2023-24932 è stata sfruttata da BlackLotus per aggirare la patch relativa alla vulnerabilità CVE-2022-21894, usata dal bootkit UEFI per disattivare tutte le protezioni di Windows 11. Microsoft aveva spiegato come rilevare BlackLotus e ora ha rilasciato la patch che risolve la nuova vulnerabilità.
Come detto, il fix è opzionale, in quanto è disponibile solo per i dispositivi con Secure Boot attivo. Inoltre, la protezione non è abilitata per default. Gli utenti devono intervenire manualmente, seguendo le istruzioni fornite da Microsoft. Il primo passo prevede l’installazione della patch inclusa nell’aggiornamento cumulativo del 9 maggio.
Successivamente è necessario aggiornare tutti i supporti di avvio e i backup completi del sistema operativo (l’attivazione della protezione impedisce l’avvio con vecchi supporti e backup). Infine occorre applicare i file di revoca, ovvero i criteri di avvio dell’integrità del codice (SKUSiPolicy.p7b) e la Secure Boot UEFI Forbibben List, usando i comandi indicati nelle istruzioni.
L’azienda di Redmond ha adottato un approccio graduale in tre fasi per limitare l’impatto della protezione. Il 9 maggio è stata rilasciata la patch che richiede un intervento manuale. L’11 luglio verrà rilasciato un altro aggiornamento che semplifica l’applicazione della protezione. Nel primo trimestre 2024 sarà disponibile un aggiornamento finale che attiva la protezione per default su tutti i dispositivi supportati.