|
黑莲花病毒
WBlackLotus,又名黑莲花病毒,一种劫持 UEFI 的恶意病毒。BlackLotus 被认为是第一个可以绕过 Windows 11 安全启动的 UEFI Bootkit 恶意病毒。BlackLotus还可以禁用 Windows 中的 Defender 或 Bitlocker 和 HVCI。在发现该病毒之前,Windows 10/11 下 UEFI、Secure Boot 的安全性一直备受好评。
微软的三阶段计划
微软分三个阶段对该漏洞进行修复
第一阶段 微软于2023年5月9日发布了KB5025885更新,该更新是修复 BlackLotus 的第一阶段。更新内容包括增加代码完整性启动策略,将禁止的数字签名数据库DBX写入UEFI,更新Windows启动管理器等。 但该更新并未自动生效(可以手动更新),因为旧版的Windows启动管理器容易受到病毒攻击,微软通过拉黑DBX病毒暂时应对病毒攻击。如果该更新生效,只能启动新版Windows启动管理器,以前使用旧版ISO制作的U盘启动器和WinPE可能无法启动。 第二阶段 本周二发布的 Windows 10(KB5028166)和 Windows 11(KB5028185)更新补丁,更新完成之后,依旧没有任何变化,但相较于第一阶段更新,但是简化了手动生效的方法。 以管理员身份运行 cmd,并输入以下命令。 reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f 重新启动计算机,启动成功之后,尽量在10分钟之后再重新启动一次。确认是否启用成功,只需要按键盘快捷键 Windows + R 打开运行窗口,输入 “eventvwr” 并按回车键,如果存在事件ID 1035和276,则表示已生效! 第三阶段 预计将在2024年第一季度强制执行,届时无需手动操作,将会自动完成修复。 核心提示:一旦将此更新生效,即便是全盘格式化,也是无法恢复如初的。凡是使用旧版Windows启动管理器,都将会无法启动。比如用旧版镜像制作的U盘启动、WinPE,还有一些品牌电脑自带的恢复分区、以前备份的系统映像、双系统(一个新一个旧,旧版可能无法启动了)等等,都将会受到影响无法使用。 当然,以上种种都是围绕修复安全启动的漏洞CVE-2023-24932来说的,一旦在UEFI中关闭了安全启动,上面的说法就无意义了。不过安全启动作为一项重要的安全功能,不建议关闭。所以还是早做准备,U盘启动器、DVD光盘、ISO镜像、WinPE等都更新到2023.5.9以后的版本。
终极措施
大家尽量提前做好准备,避免在使用官方镜像重装系统时遇到问题。当然,为了确保万无一失,只要使用2023年5月9日之后的镜像即可避免该问题。
| 
发表于 2023-7-18 11:56:17
发表于 2023-7-18 12:09:12
.jpg)
