Microsoft ha revocato i certificati usati per firmare driver infetti che consentono di ottenere i privilegi di amministratore.
Insieme alle patch per Windows 11 e Windows 10, Microsoft ha annunciato la seconda fase delle misure implementate per risolvere la vulnerabilità CVE-2023-24932 sfruttata dal bootkit BlackLotus. Contestualmente sono stati revocati i certificati dei driver infetti.
Maggiore protezione contro i bootkit
BlackLotus può disattivare Microsoft Defender, BitLocker e HVCI (Hypervisor-protected Code Integrity), sfruttando la vulnerabilità CVE-2022-21894 che permette di aggirare il Secure Boot. Microsoft ha pubblicato a metà aprile una guida per consentire di individuare la presenza del malware, mentre il 9 maggio ha rilasciato la patch per la nuova vulnerabilità CVE-2023-24932 e comunicato le fasi successive per migliorare la protezione.
La seconda fase prevede la distribuzione automatica dei file di revoca, nuovi eventi nel visualizzatore che indicano se la revoca è stata eseguita con successo e il pacchetto SafeOS Dynamic Update per WinRE.
Dopo aver installato gli aggiornamenti dell’11 luglio (che includono i file di revoca), gli utenti che hanno un computer con SecureBoot devono aprire il prompt dei comandi con permessi di amministratore ed eseguire il seguente comando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
Successivamente è necessario riavviare due volte il computer con 5 minuti di intervallo tra un ravvio e l’altro. Microsoft ha inoltre aggiunto alla “revocation list” i driver infetti, segnalati da Sophos, Cisco Talos e Trend Micro, che consentono di ottenere i privilegi di amministratore. I driver erano stati certificati tramite il Microsoft Windows Hardware Developer Program (MWHDP), quindi gli account degli sviluppatori/cybercriminali sono stati chiusi.
Per aggiornare l’elenco dei driver revocati è sufficiente installare l’ultimo aggiornamento di Microsoft Defender tramite Windows Update.
