Durante il Patch Tuesday del mese di maggio 2023 Microsoft ha rilasciato un aggiornamento correttivo che mette una pezza a un importante bug di sicurezza. Il problema è stato ampiamente sfruttato da BlackLotus, malware che supera le difese di Secure Boot e viene caricato all’avvio del sistema scavalcando le protezioni di VBS (Virtualization-based Security), BitLocker e Defender.
La sicurezza della fase di avvio di Windows, quando protetta con l’attivazione di Secure Boot, ha uno stretto legame con il database delle esclusioni: Secure Boot DBX o Database eXclusion è una funzionalità di sicurezza che impedisce l’avvio di qualsiasi software non autorizzato o non firmato digitalmente da un’autorità di certificazione attendibile. Contiene una lista di tutte le firme digitali considerate attendibili dal sistema operativo e viene utilizzato all’avvio del sistema per verificare l’integrità del software che viene caricato.
Per scongiurare l’insediamento di bootkit come BlackLotus, Microsoft ha aggiornato la lista delle revoche lato UEFI dettagliando l’intervento nel bollettino relativo alla falla CVE-2023-24932 e nell’articolo di supporto KB5025885.
La società di Redmond ha però voluto pubblicare anche una guida per il blocco dei bootkit spiegando che Secure Boot DBX contiene già i riferimenti ai componenti che UEFI deve neutralizzare ma il database è limitato in termini di spazio di archiviazione in quanto si trova sulla memoria flash del firmware. Per questo motivo, l’elenco di revoche DBX o UEFI può contenere solo un numero limitato di occorrenze.
Microsoft consiglia quindi l’utilizzo del criterio Windows Defender Application Control (WDAC), disponibile su Windows 10 e Windows 11: se da un lato, infatti, l’aggiornamento correttivo rilasciato a maggio 2023 risolve il problema più grave, dall’altro un eventuale utente malintenzionato, dotato dei privilegi amministrativi o dell’accesso fisico al dispositivo, può eseguire il rollback (ripristino di una precedente versione) del gestore di avvio o boot manager annullando l’efficacia della patch rilasciata di recente.
Nel documento KB5027455 i tecnici Microsoft prendono in esame anche questo scenario e forniscono le indicazioni per la protezione del sistema.