Oltre ad aver rilasciato le patch cumulative di luglio per i sistemi operativi Windows 11 e Windows 10, nel corso delle ultime ore Microsoft ha annunciato la seconda fase delle misure adottate per risolvere la vulnerabilità CVE-2023-24932 sfruttata dal tristemente noto bootkit BlackLotus, procedendo con la revoca dei certificati dei driver infetti.
Windows: le nuove misure per combattere BlackLotus
Da tenere presente che la falla CVE-2022-21894 consente di aggirare il Secure Boot di Windows e viene sfruttata da BlackLotus per disabilitare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity).
Microsoft ha pubblicato a metà aprile una guida per individuare la presenza del malware, mentre a maggio scorso ha rilasciato la patch per la nuova vulnerabilità.
La nuova fase ora in essere prevede, invece, la distribuzione automatica dei file di revoca, nuovi eventi nel visualizzatore che indicano se la revoca è stata eseguita con successo e il pacchetto SafeOS Dynamic Update per WinRE.
Per cui, dopo l'installazione del Patch Tuesday di luglio 2023, coloro che usano un computer con SecureBoot devono procedere aprendo il Prompt dei comandi come amministratore e impartire il segutente comando: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
.
In seguito, bisogna riavviare due volte il computer con 5 minuti di intervallo tra un riavvio e l'altro.
Microsoft ha altresì inserito nella “revocation list” i driver infetti, segnalati dalle società di sicurezza Sophos, Cisco Talos e Trend Micro, che consentono di ottenere i privilegi di amministratore. I suddetti driver avevano ottenuto la certificazione con il Microsoft Windows Hardware Developer Program (MWHDP), di conseguenza i relativi account di sviluppatori/cybercriminali sono stati chiusi.