Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้
BlackLotus เป็น UEFI bootkit ที่สามารถ bypass Secure Boot และควบคุมกระบวนการบูตของระบบปฏิบัติการได้ เมื่อเข้าควบคุมระบบแล้ว BlackLotus สามารถปิดการทำงานของฟีเจอร์ด้านความปลอดภัยของ Windows เช่น BitLocker, Hypervisor-Protected Code Integrity (HVCI) และ Microsoft Defender Antivirus ทำให้สามารถติดตั้งมัลแวร์ด้วยสิทธิ์ระดับสูงสุดได้โดยไม่ถูกตรวจจับ
ในเดือนมีนาคม 2023 และกรกฎาคม 2024 Microsoft ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ Secure Boot bypass ที่มีหมายเลข CVE-2023-24932 ซึ่งเป็นการเพิกถอน boot manager ที่มีช่องโหว่ซึ่งถูกใช้โดย BlackLotus
อย่างไรก็ตาม การแก้ไขนี้จะถูกปิดใช้งานตามค่าเริ่มต้น เนื่องจากการนำการอัปเดตไปใช้อย่างไม่ถูกต้อง หรือเกิดความขัดแย้งในบางอุปกรณ์ อาจทำให้ระบบปฏิบัติการไม่สามารถบูตได้อีกต่อไป การออกอัปเดตนี้จึงถูกนำไปใช้เป็นระยะ ๆ เพื่อให้ผู้ดูแลระบบ Windows สามารถทดสอบก่อนที่จะมีการบังคับใช้ในภายหลัง ซึ่งจะเกิดขึ้นก่อนปี 2026
เมื่อเปิดใช้งาน การอัปเดตความปลอดภัยนี้จะเพิ่ม "Windows UEFI CA 2023" certificate ลงใน "Secure Boot Signature Database" ของ UEFI ผู้ดูแลระบบสามารถติดตั้งตัวจัดการบูตเวอร์ชันใหม่ที่ได้รับการ signed ด้วย certificate นี้ได้
กระบวนการนี้ยังรวมถึงการอัปเดต Secure Boot Forbidden Signature Database (DBX) เพื่อเพิ่ม "Windows Production CA 2011" certificate ซึ่งใช้ในการ sign ตัวจัดการบูตเวอร์ชันเก่าที่มีช่องโหว่ และเมื่อถูกยกเลิกแล้ว จะทำให้ตัวจัดการบูตเหล่านี้กลายเป็นอันตราย และไม่สามารถบูตได้
อย่างไรก็ตาม หากใช้มาตรการลดผลกระทบ และพบปัญหาในการบูตอุปกรณ์ ต้องอัปเดต bootable media ให้ใช้ Windows UEFI CA 2023 certificate ก่อน เพื่อทำการแก้ไขปัญหาการติดตั้ง Windows
Microsoft อธิบายใน support bulletin เกี่ยวกับขั้นตอนการแก้ไขสำหรับ CVE-2023-24932 ว่า "หากพบปัญหากับอุปกรณ์หลังจากที่ใช้มาตรการลดผลกระทบ และอุปกรณ์ไม่สามารถบูตได้ อาจทำให้ไม่สามารถเริ่มต้น หรือกู้คืนอุปกรณ์จาก media ที่มีอยู่ได้"
"การกู้คืน หรือการติดตั้ง media จะต้องได้รับการอัปเดตเพื่อให้สามารถทำงานกับอุปกรณ์ที่ใช้มาตรการลดผลกระทบแล้ว"
เมื่อวานนี้ Microsoft ได้ปล่อยสคริปต์ PowerShell ที่ช่วยให้ผู้ใช้งานสามารถอัปเดต bootable media ได้ เพื่อให้รองรับการใช้ Windows UEFI CA 2023 certificate
ตามคำอธิบายใน support bulletin ที่เกี่ยวกับสคริปต์นี้ "สคริปต์ PowerShell ที่ระบุถึงในบทความนี้สามารถใช้ในการอัปเดต bootable media ของ Windows เพื่อให้ media เหล่านั้นสามารถใช้งานได้บนระบบที่เชื่อถือ Windows UEFI CA 2023 certificate"
สคริปต์ PowerShell นี้สามารถดาวน์โหลดได้จาก Microsoft และสามารถใช้ในการอัปเดตไฟล์ bootable media สำหรับ ISO, CD/DVD image, USB flash drive, local drive path หรือ network drive path
ในการใช้เครื่องมือนี้ คุณต้องดาวน์โหลด และติดตั้ง Windows ADK (Windows Assessment and Deployment Kit) ก่อน เนื่องจากเป็นสิ่งจำเป็นสำหรับให้สคริปต์นี้ทำงานได้อย่างถูกต้อง
เมื่อเรียกใช้สคริปต์ มันจะอัปเดตไฟล์ media ให้ใช้ "Windows UEFI CA 2023" certificate และติดตั้งตัวจัดการบูตที่ sign โดย certificate นี้
Microsoft แนะนำให้ผู้ดูแลระบบ Windows ทดสอบกระบวนการนี้ก่อนที่จะมีการบังคับใช้การอัปเดตด้านความปลอดภัย โดยการบังคับใช้จะเกิดขึ้นภายในสิ้นปี 2026 และ Microsoft จะแจ้งให้ทราบล่วงหน้าหกเดือนก่อนที่จะเริ่มการบังคับใช้
ที่มา : bleepingcomputer
You must be logged in to post a comment.