La scoperta di una falla di sicurezza nel Secure Boot di Windows 11 e Windows 10 potrebbe significare un problema che richiederà mesi per essere risolto.
Microsoft sta lavorando a un aggiornamento per risolvere una falla di sicurezza zero-day di Windows. Secure Boot, la funzione di protezione dei dispositivi di avvio del sistema operativo, presenta una grave falla che potrebbe essere sfruttata per eseguire codice dannoso su UEFI tramite un malware noto come “BlackLotus“.
Windows 11, Windows 10 e le edizioni di Windows Server risalenti al 2008 sono le versioni del sistema operativo che sono vulnerabili al malware che potrebbe annullare le funzioni di sicurezza del computer e consentire l’accesso privilegiato all’hacker. Come previsto da Microsoft, la correzione definitiva potrebbe richiedere diversi mesi per essere completata.
BlackLotus è un bootkit, ovvero un malware il cui obiettivo è il gestore di avvio del sistema operativo, progettato per aggirare i livelli di protezione di Secure Boot. Secondo Microsoft, per riuscire a sfruttare la falla è necessario che l’agente maligno abbia accesso fisico o privilegi di amministratore locale sul dispositivo.
Sviluppato da Microsoft in collaborazione con Intel, AMD e altri operatori del settore, Secure Boot è una funzione di sicurezza che verifica la firma digitale di ogni componente coinvolto nel processo di avvio di un computer, come il firmware del sistema, i driver e il sistema operativo stesso, prima di consentirne l’esecuzione.
Per proteggere gli utenti da questo tipo di attacco, il gruppo di cybersicurezza di Microsoft sta lavorando a una patch per risolvere la falla, catalogata come CVE-2023-24932, ma a causa della complessità del sottosistema di avvio del computer, l’aggiornamento potrebbe richiedere tempo per essere completato e implementato definitivamente.
L’azienda spiega che applicherà le protezioni in tre fasi per ridurre l’impatto delle modifiche per i clienti e i partner industriali:
- 9 maggio 2023: viene rilasciata la patch iniziale, ma tutte le correzioni di sicurezza sono disattivate per impostazione predefinita.
- 11 luglio 2023: viene rilasciato un secondo aggiornamento con ulteriori opzioni per l’implementazione delle correzioni di sicurezza in Secure Boot.
- 1° trimestre 2024: viene rilasciato l’ultimo aggiornamento che abilita le patch di sicurezza per impostazione predefinita e impone la revoca del boot loader su tutti i dispositivi con Windows.
Secure Boot controlla il supporto di avvio consentito all’avvio di un sistema operativo e, se la patch non viene implementata correttamente, l’aggiornamento potrebbe causare guasti irreversibili nel gestore di avvio del sistema.
Una volta abilitate le patch, i dispositivi non saranno più in grado di avviarsi da vecchi supporti “avviabili” che non includono le patch fornite da Microsoft. L’elenco dei supporti interessati comprende:
- Supporti di installazione di Windows tramite file ISO (DVD, USB, ecc.)
- Immagini personalizzate dai reparti IT
- Backup totali del sistema operativo
- Driver di avvio di rete
- Driver di avvio che utilizzano Windows PE (WinPE)
- Supporti di ripristino forniti dal produttore del PC
Sebbene la migliore soluzione temporanea alla violazione della sicurezza sia la disattivazione di Secure Boot, Microsoft raccomanda agli utenti di continuare a utilizzare lo strumento per evitare che i loro computer siano ulteriormente esposti alle minacce dei bootkit.