黑莲花病毒—引起windows镜像失效(转)
黑莲花病毒
WBlackLotus,又名黑莲花病毒,一种劫持 UEFI 的恶意病毒。BlackLotus 被认为是第一个可以绕过 Windows 11 安全启动的 UEFI Bootkit 恶意病毒。BlackLotus还可以禁用 Windows 中的 Defender 或 Bitlocker 和 HVCI。在发现该病毒之前,Windows 10/11 下 UEFI、Secure Boot 的安全性一直备受好评。
微软的三阶段计划
微软分三个阶段对该漏洞进行修复
第一阶段微软于2023年5月9日发布了KB5025885更新,该更新是修复 BlackLotus 的第一阶段。更新内容包括增加代码完整性启动策略,将禁止的数字签名数据库DBX写入UEFI,更新Windows启动管理器等。但该更新并未自动生效(可以手动更新),因为旧版的Windows启动管理器容易受到病毒攻击,微软通过拉黑DBX病毒暂时应对病毒攻击。如果该更新生效,只能启动新版Windows启动管理器,以前使用旧版ISO制作的U盘启动器和WinPE可能无法启动。第二阶段本周二发布的 Windows 10(KB5028166)和 Windows 11(KB5028185)更新补丁,更新完成之后,依旧没有任何变化,但相较于第一阶段更新,但是简化了手动生效的方法。以管理员身份运行 cmd,并输入以下命令。reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f重新启动计算机,启动成功之后,尽量在10分钟之后再重新启动一次。确认是否启用成功,只需要按键盘快捷键 Windows + R 打开运行窗口,输入 “eventvwr” 并按回车键,如果存在事件ID 1035和276,则表示已生效!第三阶段预计将在2024年第一季度强制执行,届时无需手动操作,将会自动完成修复。核心提示:一旦将此更新生效,即便是全盘格式化,也是无法恢复如初的。凡是使用旧版Windows启动管理器,都将会无法启动。比如用旧版镜像制作的U盘启动、WinPE,还有一些品牌电脑自带的恢复分区、以前备份的系统映像、双系统(一个新一个旧,旧版可能无法启动了)等等,都将会受到影响无法使用。当然,以上种种都是围绕修复安全启动的漏洞CVE-2023-24932来说的,一旦在UEFI中关闭了安全启动,上面的说法就无意义了。不过安全启动作为一项重要的安全功能,不建议关闭。所以还是早做准备,U盘启动器、DVD光盘、ISO镜像、WinPE等都更新到2023.5.9以后的版本。
终极措施
大家尽量提前做好准备,避免在使用官方镜像重装系统时遇到问题。当然,为了确保万无一失,只要使用2023年5月9日之后的镜像即可避免该问题。
终极措施应该是临时关闭安全启动{:7_338:} 树树皆秋色 发表于 2023-7-18 12:09
终极措施应该是临时关闭安全启动
安全启动漏洞CVE-2023-24932会一直存在。
所以还是更新的好,行业专家的话一般还是不错的。
网络上的砖家不在内!! 这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~ 所以,要不要打补丁? yangeryuner 发表于 2023-7-18 20:37
这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~ ...
都有后门吧应该 yangeryuner 发表于 2023-7-18 20:37
这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~ ...
绝对的安全是没有的。
发现漏洞,及时补上就是最好的。 OOO 发表于 2023-7-18 23:30
所以,要不要打补丁?
只要你5月9号之后更新了补丁其实已经打了,只不过微软为了留充足的时间告知用户,还没有实际启用,可以手动改注册表提前启用。至于什么时候正式启用要看微软了。