Blog.XiaoMing.Xyz从Win8.1时代开始,「安全启动」进入大众视野,当电脑启动时,首先验证固件是否已经进行数字签名,从而降低rootkit的风险。然后安全启动会检查在操作系统之前运行的所有代码以及加载的程序是否数字签名、经过认证,如果程序可信则正常启动。从原理上看,这是一项非常安全的措施。然鹅,最近几个月有一个名为“BlackLotus”的UEFI bootkit恶意程序,它可以绕过安全启动(Secure Boot),执行恶意代码,给系统带来了极大的隐患。
由于Windows启动管理器容易受到攻击,为此微软也及时推出补丁KB5025885修复这个漏洞,不过这个补丁有一点点特殊——安装此补丁后,并未立即生效。我们先看一下微软的策略:
手动启用阶段:2023年5月9日发布更新,安装补丁后并未立即生效,但可以手动启用(需要使用cmd命令,见下文);
自动部署阶段:2023年7月11日,这个时间之后安装此补丁,可以自动化部署(猜测可能需要手动确认一下?);
强制执行阶段:2024年第一季度,此时间后微软将强制执行,以编程的方式修改。此计划的时间,也可能会提前。
修复这个漏洞,微软为什么不让它立即生效?我们先看一下安装了这个补丁后,如何手动启用,就明白了。
安装补丁后,手动启用的方法
2023年5月9日及以后发布的补丁或者系统ISO,都包含此漏洞的修复。2023年7月11日前,可以手动启用这个功能(没看懂之前不要随意启用):
1.以管理员身份运行cmd,输入以下4条命令:
mountvol q: /S
xcopy %systemroot%\System32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot
mountvol q: /D
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x10 /f
2.重启电脑,至少等待5分钟以上,再次重启电脑,大功告成!(务必注意:重启两次)
检查一下是否启用成功了?此电脑→显示更多选项→管理→事件查看器→Windows日志→系统,如果能找到事件ID为1035,则表示成功启用!
此补丁修改了哪些地方?
下面简要的对此补丁的原理进行介绍。通过上面的步骤我们可以发现:
1.把SKUSiPolicy.P7b这个文件复制到了ESP分区。这个文件是「代码完整性启动策略」,检查代码的完整性,防止在安全启动时加载不受信任的Windows启动管理器。
2.添加了一项注册表。这个是用来把「禁止的数字签名数据库(DBX)」写入UEFI中。从名字就可以看出,DBX包含了恶意程序以及易受攻击的程序、已泄露的密钥和证书的哈希,目的是用来阻止这些程序的运行,直白的说就是黑名单。
3.此项补丁安装并启用后,或者使用的是2023年5月9日之后的ISO。微软撤销了旧版的Windows启动管理器,采用新版。
Windows启动管理器文件(bootmgfw.efi 和 bootx64.efi )也进行了更新。一旦让上述补丁生效,如果是用的旧版本ISO重装系统,那么启动的时候则会出现下述错误,因为旧版的启动管理器易受攻击,被加到UEFI固件的DBX里面了。
最后
更新了2023年5月9日及以后的补丁,或者使用了2023年5月9日及以后的ISO镜像,目前默认情况下尚未生效,但已进入倒计时!微软给了一段时间,让大家准备准备。一旦生效后,那么再使用旧版本的ISO(无论是U盘启动器还是光盘启动),都将无法进入系统。以往旧版本的WinPE、以前备份的系统或者制作的可启动U盘,通通都将失效。
解决方法是:关闭安全启动(Secure Boot)。或者使用2023年5月9日及以后的系统或WinPE。
原文始发于微信公众号(知彼而知己):所有人务必注意:这个病毒,小心开不了机!
