HackerNews 编译,转载请注明出处:
微软发布了一款 PowerShell 脚本,旨在帮助 Windows 用户和管理员更新可启动介质,使其在 2026 年底前使用新的 “Windows UEFI CA 2023” 证书,以应对即将实施的 BlackLotus UEFI Bootkit 缓解措施。
BlackLotus 是一种 UEFI Bootkit,能够绕过安全启动(Secure Boot),并控制操作系统的启动过程。一旦获得控制权,BlackLotus 可以禁用 Windows 安全功能,例如 BitLocker、受 hypervisor 保护的代码完整性(HVCI)和 Microsoft Defender Antivirus,从而在最高权限级别部署恶意软件,同时保持隐蔽性。
2023 年 3 月和 2024 年 7 月,微软发布了针对 CVE-2023-24932 的安全更新,该漏洞是一个被 BlackLotus 利用的 Secure Boot 绕过漏洞。然而,此修复默认情况下是禁用的,因为错误应用更新或设备上的冲突可能导致操作系统无法加载。分阶段推出修复程序,可以让 Windows 管理员在 2026 年底前强制实施前进行测试。
启用后,安全更新将把 “Windows UEFI CA 2023” 证书添加到 UEFI “Secure Boot Signature Database” 中。管理员随后可以安装使用该证书签名的较新启动管理器。此过程还包括更新 Secure Boot Forbidden Signature Database(DBX),以添加用于签名较旧、易受攻击启动管理器的 “Windows Production CA 2011” 证书。一旦撤销该证书,这些启动管理器将变得不受信任且无法加载。
然而,如果应用缓解措施后设备启动出现问题,必须首先更新可启动介质以使用 Windows UEFI CA 2023 证书来排查 Windows 安装问题。微软在关于 CVE-2023-24932 修复分阶段推出的支持公告中解释道:“如果应用缓解措施后设备出现问题且无法启动,你可能无法从现有介质启动或恢复设备。恢复或安装介质需要更新,以便与已应用缓解措施的设备兼容。”
昨天,微软发布了一款 PowerShell 脚本,帮助用户更新可启动介质以使用 Windows UEFI CA 2023 证书。该脚本可以从微软下载,并用于更新 ISO CD/DVD 镜像文件、USB 闪存驱动器、本地驱动器路径或网络驱动器路径的可启动介质文件。
要使用该工具,必须先下载并安装 Windows ADK,这是脚本正常运行的必要条件。运行时,脚本将更新介质文件以使用 Windows UEFI CA 2023 证书,并安装由该证书签名的启动管理器。
微软强烈建议 Windows 管理员在安全更新强制实施阶段到来之前测试这一过程。微软表示,这将在 2026 年底前发生,并将在开始前六个月内通知用户。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
