除了為 Windows 11 和 Windows 10 操作系統(tǒng)發(fā)布了7月份的累積補(bǔ)丁之外，微軟本周二還宣布了為解決CVE-2023-24932漏洞的第二階段措施，該漏洞被臭名昭著的BlackLotus(黑蓮花)病毒利用。

WBlackLotus，又名黑蓮花病毒，一種劫持 UEFI 的惡意病毒。BlackLotus 被認(rèn)為是第一個可以繞過 Windows 11 安全啟動的 UEFI Bootkit 惡意病毒。BlackLotus還可以禁用 Windows 中的 Defender 或 Bitlocker 和 HVCI。在發(fā)現(xiàn)該病毒之前，Windows 10/11 下 UEFI、Secure Boot 的安全性一直備受好評。

什么是引導(dǎo)工具包（Bootkit）？

引導(dǎo)工具包是一種可以操縱UEFI引導(dǎo)過程并繞過安全功能的軟件模塊，它們對Windows機(jī)器構(gòu)成非常強(qiáng)大的威脅（也適用于Linux，但Secure Boot主要針對Windows）。引導(dǎo)工具包以隱蔽且高權(quán)限的方式運(yùn)行，無論是內(nèi)核模式還是用戶模式，一旦病毒完全控制了操作系統(tǒng)的引導(dǎo)過程，就可以禁用各種操作系統(tǒng)安全機(jī)制，并引入自己的惡意程序。

到目前為止，只發(fā)現(xiàn)了少數(shù)幾種引導(dǎo)工具包，并進(jìn)行了公開描述。與固件植入（如LoJax）相比，UEFI引導(dǎo)工具包可能會失去隱蔽性。

什么是UEFI？

UEFI代表“統(tǒng)一可擴(kuò)展固件接口”，描述的是主板的固件。這是在引導(dǎo)過程中硬件和軟件之間的接口。UEFI的一個重要功能是安全引導(dǎo)（Secure Boot）計(jì)算機(jī)，主要是為了防止病毒進(jìn)入設(shè)備，這就是為什么繞過這個安全功能如此危險(xiǎn)的原因。

微軟分三個階段對該漏洞進(jìn)行修復(fù)

微軟于2023年5月9日發(fā)布了KB5025885更新，該更新是修復(fù) BlackLotus 的第一階段。更新內(nèi)容包括增加代碼完整性啟動策略，將禁止的數(shù)字簽名數(shù)據(jù)庫DBX寫入U(xiǎn)EFI，更新Windows啟動管理器等。

但該更新并未自動生效（可以手動更新），因?yàn)榕f版的Windows啟動管理器容易受到病毒攻擊，微軟通過拉黑DBX病毒暫時應(yīng)對病毒攻擊。如果該更新生效，只能啟動新版Windows啟動管理器，以前使用舊版ISO制作的U盤啟動器和WinPE可能無法啟動。

第二階段則是本周二發(fā)布的 Windows 10（KB5028166）和 Windows 11（KB5028185）更新補(bǔ)丁，更新完成之后，依舊沒有任何變化，但相較于第一階段更新，但是簡化了手動生效的方法。

以管理員身份運(yùn)行 cmd，并輸入以下命令。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f

重新啟動計(jì)算機(jī)，啟動成功之后，盡量在10分鐘之后再重新啟動一次。確認(rèn)是否啟用成功，只需要按鍵盤快捷鍵 Windows + R 打開運(yùn)行窗口，輸入 “eventvwr” 并按回車鍵，如果存在事件ID 1035和276，則表示已生效！

第三階段預(yù)計(jì)將在2024年第一季度強(qiáng)制執(zhí)行，屆時無需手動操作，將會自動完成修復(fù)。

需要注意的是，使用舊版的Windows啟動管理器的電腦會無法啟動操作系統(tǒng)，還有使用舊版鏡像制作的U盤啟動器、WinPE以及一些品牌電腦自帶的恢復(fù)分區(qū)等都會受到影響。

終極措施

大家盡量提前做好準(zhǔn)備，避免在使用官方鏡像重裝系統(tǒng)時遇到問題。當(dāng)然，為了確保萬無一失，只要使用2023年5月9日之后的鏡像即可避免該問題。