ESET 安全研究人員于今年 3 月發現了 BlackLotus，被認為是首個可以在 Win11 系統上繞過 Secure Boot 的 UEFI bootkit 惡意軟件。

微軟于今天面向 Win10、Win11、Windows Server 發布了 KB5025885 更新，重點修復了這個追蹤編號為 CVE-2023-24932 的漏洞。

微軟官方摘要信息如下：

本文介紹如何使用由 CVE-2023-24932 跟蹤的 BlackLotus UEFI bootkit 來防止安全啟動安全功能繞過公開披露，以及如何啟用保護和指南來更新可啟動媒體。

bootkit 是一個惡意程序，旨在盡早在設備的序列中加載，以便控制操作系統啟動。

安全啟動建議 Microsoft 通過 Windows 內核的受信任啟動序列從統一可擴展固件接口 (UEFI) 創建安全且受信任的路徑。

安全啟動有助于防止啟動序列中的 bootkit 惡意軟件。禁用安全啟動會使設備面臨被 bootkit 惡意軟件感染的風險。

修復 CVE-2023-24932 中所述的安全啟動繞過需要撤銷啟動管理器。這可能會導致某些設備的啟動配置出現問題。

2023 年 5 月 9 日的安全更新提供了配置選項，用于手動啟用安全啟動繞過保護，但不會自動啟用這些保護。

在啟用這些保護之前，必須驗證設備和所有可啟動媒體是否已更新并準備好進行此安全強化更改。

使用 Microsoft 基于云的解決方案的客戶應遵循 更新可啟動媒體 / Azure 云 中的指南。