Sicurezza 21 Mar
Microsoft ha rilasciato una patch per una vulnerabilità che affligge Secure Boot, rendeva l'avvio sicuro di Windows non così... sicuro. L'argine di Microsoft infatti funziona secondo un principio semplice per prevenire modifiche non autorizzate al firmware di un PC: all'avvio verifica le firme digitali di ciascun modulo del firmware prima di caricarli, quindi se qualcosa non è autorizzato, dunque affidabile, non viene caricato.
In questo modo Secure Boot garantisce un avvio sicuro di Windows, schermando il sistema dalle minacce fin dall'accensione. Il sistema, dal funzionamento lineare, è stato messo in crisi dal bootkit noto come BlackLotus, e la cattiva notizia è che si tratta di una vulnerabilità zero day, cioè che è stata sfruttata con successo su Windows 11 e 10 prima che il titolare del sistema, Microsoft, potesse provvedere a correggere la falla, in questo caso quella utilizzata da BlackLotus per aggirare Secure Boot.
Gli hacker sono riusciti a creare un modulo con una firma digitale che Secure Boot riconosce come valida anche se non lo è, per cui si crea un cortocircuito che mette a repentaglio la sicurezza dell'utente perché si insinua prima che si avviino le protezioni più efficaci. L'aspetto che può tranquillizzare alcuni è che per riuscire a ingannare Secure Boot il malintenzionato ha bisogno di avere accesso fisico al computer o con diritti di amministratore, dal momento che può colpire anche le macchine virtuali.
Il secondo aspetto, abbastanza meno rassicurante, è che se da un lato Microsoft ha reso disponibili già da mesi le prime patch correttive, dall'altro è necessario attivarle manualmente: i correttivi infatti potrebbero compromettere il sistema. Così a Redmond hanno preferito che ciascun amministratore "pesasse" i due rischi, caso per caso: se è concreta la possibilità che un aggressore possa sfruttare la vulnerabilità allora può valere la pena correre il rischio di compromettere il sistema, altrimenti meglio attendere Microsoft.
Che tuttavia avrà tempi lunghi: il correttivo definitivo non dovrebbe arrivare prima di inizio 2024, sarà trascorso un anno dalla scoperta del problema.
Commenti
Probabilmente questo:
Cioè se capisco bene i dischi / immagini di sistema effettuati in precedenza all'applicazione della patch non saranno più avviabili (e andranno rifatti).
Non mi è chiara la questione che la patch è "rischiosa" e quindi l'installazione è su base volontaria... che rischi comporta?
ci dobbiamo consolare con poco! :)
ah, ma io non mi aspettavo diversamente.
a me tranquillizza di più che non è un problema a livello uefi.
"L'aspetto che può tranquillizzare alcuni è che per riuscire a ingannare Secure Boot il malintenzionato ha bisogno di avere accesso fisico al computer o con diritti di amministratore"
quale?
male, molto male ma almeno c'è mezza buona notizia...