Как издание Ars Technica, помимо изначальной уязвимости , задокументированной в январе 2022 года, обходить защиту Secure Boot также можно с помощью схожей проблемы с идентификатором . В обоих случаях атакующие используют штатные компоненты Windows. Для решения проблемы, таким образом, нужен не только выпуск патчей, но и запрет на выполнение старых легитимных версий ПО. Вследствие этого запускать старые загрузочные носители будет невозможно.
Для атаки с использованием данных уязвимостей нужен либо физический доступ к компьютеру, либо возможность выполнения кода с правами администратора. В случае успеха вредоносное ПО получает постоянный и полный доступ к системе, а также способность восстанавливаться даже после переустановки. По данным ESET, буткит BlackLotus успешно подменяет штатный загрузочный менеджер Windows на свой собственный. Простым патчем такую проблему не решить: атакующие могут вызвать перезагрузку компьютера и провести атаку с использованием непропатченных, но подписанных и легитимных версий ПО от Microsoft. Отсюда возникает необходимость добавить такие библиотеки в черный список — с запретом их выполнения.
К чему это приведет, подробно описывается в техническом документе Microsoft. Актуальную версию патча, вышедшую 9 мая, можно активировать только вручную, причем по довольно сложной процедуре. Сейчас у администраторов есть время на обновление загрузочных носителей. Следующий апдейт, запланированный на июль, также не будет автоматическим, но процедура его активации упростится. Наконец, финальным шагом, запланированным на начало следующего года, станет окончательный запрет на запуск загрузочных образов Windows, созданных до 9 мая 2023 года.
Столь длительное время, отведенное на устранение достаточно опасной уязвимости, вполне обосновано: речь идет не только о загрузочных образах Windows, которые можно скачать с сайта Microsoft. Под удар попадают и кастомные носители, создаваемые IT-администраторами в компаниях, а также резервные копии. Внедрение подобного патча способно нарушить сразу множество процессов в организациях, причем процессов чувствительных, связанных с восстановлением данных.
Что еще произошло:
Еще одна похожая проблема без простого решения: утечка ключей для системы Intel Boot Guard, произошедшая в результате атаки на компанию MSI. Теоретически данная утечка позволяет создавать вредоносные версии прошивок для устройств этого производителя.
Эксперты «Лаборатории Касперского» свежие тенденции в развитии программ-вымогателей. Среди предсказаний на ближайшее будущее — расширение функциональности подобного вредоносного ПО (например, самостоятельное распространение), а также широкое использование уязвимых драйверов для легитимного ПО.
Издание Fortune о курьезном конфликте системы голосового управления Google с песней Where is my mind? группы Pixies. В начале трека произносится слово stop. Если эта песня поставлена в качестве мелодии будильника, воспроизведение начинается и тут же останавливается, так как смартфон воспринимает слово stop как голосовую команду от пользователя.
The Register о борьбе Google со спамом в собственном календаре. С недавнего времени календарь Google показывает приглашения на встречи только от известных контактов: это позволяет фильтровать спам, эксплуатирующий подобную функциональность. Естественно, такое вроде бы полезное нововведение сразу сломало совместимость календарей Google с рядом сторонних сервисов, генерирующих встречи для пользователей.
Apple Bluetooth-модуль в собственных наушниках. Апдейт закрывает уязвимость, которая теоретически позволяет атакующему перехватить контроль над беспроводным устройством.
