Microsoft недавно исправила уязвимость в безопасности Windows, но всё же подверглась критике, поскольку само исправление оказалось небезупречным. Если вы пропустили, уязвимость затрагивала антивирусный движок встроенного средства безопасности Windows — Defender, и обновление потенциально могло позволить злоумышленнику полностью исчерпать всё доступное дисковое пространство.
Вслед за этим Microsoft снова оказалась в новостях из-за очередной уязвимости, вернее, упущения: проблема должна была быть замечена давно, но привлекла внимание только недавно. На этот раз под прицел попала реализация UEFI Secure Boot в системах Windows: исследователи безопасности из ESET обнаружили, что несколько старых загрузчиков, подписанных Microsoft, оставались доверенными, что потенциально позволяло злоумышленникам обходить Secure Boot.
Если вы не знаете, Secure Boot предназначен для того, чтобы во время загрузки системы выполнялось только доверенное программное обеспечение; это делается для защиты ПК с Windows 11 от руткитов и других подобных вредоносных программ, активирующихся при загрузке.
Системы Windows доверяют центру сертификации UEFI от Microsoft для проверки подписанных загрузчиков перед выполнением, обращаясь к базам данных Secure Boot DB и DBX; это базы данных, которые соответственно классифицируют и содержат доверенные и недоверенные загрузчики.
Однако уязвимы системы, которые полагаются на подписанные Microsoft загрузчики первого этапа «shim» (в основном Linux) для поддержания совместимости с Secure Boot: 11 таких устаревших shim версии 0.9 и ниже (выпущенных в 2015 году) оставались доверенными, несмотря на наличие уязвимостей безопасности, известных уже много лет.
Исследователи отмечают, что это создаёт довольно интересный сценарий атаки: для успешной эксплуатации не требуется уязвимый загрузчик, поскольку злоумышленник может просто принести свою собственную копию одного из старых подписанных Microsoft shim (это можно назвать уязвимостью «принеси свой собственный уязвимый загрузчик» (BYOVB)).
Поскольку многие ПК по-прежнему доверяют сертификату Microsoft Corporation UEFI CA 2011, Secure Boot может позволить выполнение устаревшего shim, несмотря на отсутствие многих средств защиты, внедрённых в более новых версиях.
ESET отмечает, что проблема заключается не обязательно в самой Windows 11, а в цепочке доверия, поддерживаемой экосистемой Secure Boot от Microsoft. Многие из затронутых shim относятся к тому времени, когда ещё не были внедрены современные средства защиты, такие как Secure Boot Advanced Targeting (SBAT) и защита на основе Machine Owner Key (MOK). SBAT, например, позволяет отзывать отдельные поколения загрузчиков, не блокируя все версии.
Если вам интересно, SBAT поддерживается в Shim версии 15.3 и новее, а список запрещённых MOK был добавлен в версии 0.9. В результате злоумышленники потенциально могут использовать эти устаревшие загрузчики, чтобы обойти отзыв, который в противном случае применяли бы более новые shim, поскольку последние могли бы считывать метаданные SBAT и список запрещённых MOK.
ESET раскрыла результаты CERT/CC в феврале, после чего Microsoft отозвала 11 уязвимых двоичных файлов shim, добавив их в базу данных запрещённых подписей UEFI (DBX). Обновлённый список отзыва теперь поставляется и с последним обновлением July Patch Tuesday (KB5101650), поскольку они были выпущены в рамках прошлого June Patch (KB5094126). Поскольку это накопительные обновления, вы можете просто загрузить самое новое.
Возможно, по совпадению, эти результаты совпадают с собственной инициативой Microsoft по внедрению новых сертификатов Secure Boot, срок действия которых истёк, так как в июне 2026 года им исполнилось 15 лет.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen




