搜索
查看: 8231|回复: 26

[经验分享] 黑莲花病毒—引起windows镜像失效(转)

[复制链接]
发表于 2023-7-18 11:56:17 | 显示全部楼层 |阅读模式

黑莲花病毒

WBlackLotus,又名黑莲花病毒,一种劫持 UEFI 的恶意病毒。BlackLotus 被认为是第一个可以绕过 Windows 11 安全启动的 UEFI Bootkit 恶意病毒。BlackLotus还可以禁用 Windows 中的 Defender 或 Bitlocker 和 HVCI。在发现该病毒之前,Windows 10/11 下 UEFI、Secure Boot 的安全性一直备受好评。
image.png


微软的三阶段计划

微软分三个阶段对该漏洞进行修复
第一阶段
微软于2023年5月9日发布了KB5025885更新,该更新是修复 BlackLotus 的第一阶段。更新内容包括增加代码完整性启动策略,将禁止的数字签名数据库DBX写入UEFI,更新Windows启动管理器等。
但该更新并未自动生效(可以手动更新),因为旧版的Windows启动管理器容易受到病毒攻击,微软通过拉黑DBX病毒暂时应对病毒攻击。如果该更新生效,只能启动新版Windows启动管理器,以前使用旧版ISO制作的U盘启动器和WinPE可能无法启动。
第二阶段
本周二发布的 Windows 10(KB5028166)和 Windows 11(KB5028185)更新补丁,更新完成之后,依旧没有任何变化,但相较于第一阶段更新,但是简化了手动生效的方法。
以管理员身份运行 cmd,并输入以下命令。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
重新启动计算机,启动成功之后,尽量在10分钟之后再重新启动一次。确认是否启用成功,只需要按键盘快捷键 Windows + R 打开运行窗口,输入 “eventvwr” 并按回车键,如果存在事件ID 1035和276,则表示已生效!
第三阶段
预计将在2024年第一季度强制执行,届时无需手动操作,将会自动完成修复。
核心提示:一旦将此更新生效,即便是全盘格式化,也是无法恢复如初的凡是使用旧版Windows启动管理器,都将会无法启动。比如用旧版镜像制作的U盘启动、WinPE,还有一些品牌电脑自带的恢复分区、以前备份的系统映像、双系统(一个新一个旧,旧版可能无法启动了)等等,都将会受到影响无法使用。
当然,以上种种都是围绕修复安全启动的漏洞CVE-2023-24932来说的,一旦在UEFI中关闭了安全启动,上面的说法就无意义了。不过安全启动作为一项重要的安全功能,不建议关闭。所以还是早做准备,U盘启动器、DVD光盘、ISO镜像、WinPE等都更新到2023.5.9以后的版本。

终极措施

大家尽量提前做好准备,避免在使用官方镜像重装系统时遇到问题。当然,为了确保万无一失,只要使用2023年5月9日之后的镜像即可避免该问题。



回复

使用道具 举报

发表于 2023-7-18 12:09:12 | 显示全部楼层
终极措施应该是临时关闭安全启动
回复

使用道具 举报

 楼主| 发表于 2023-7-18 14:58:32 | 显示全部楼层
树树皆秋色 发表于 2023-7-18 12:09
终极措施应该是临时关闭安全启动

安全启动漏洞CVE-2023-24932会一直存在。
所以还是更新的好,行业专家的话一般还是不错的。
网络上的砖家不在内!!
回复

使用道具 举报

发表于 2023-7-18 20:37:35 | 显示全部楼层
这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~
回复

使用道具 举报

发表于 2023-7-18 23:30:19 | 显示全部楼层
所以,要不要打补丁?
回复

使用道具 举报

发表于 2023-7-19 08:21:15 | 显示全部楼层
yangeryuner 发表于 2023-7-18 20:37
这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~ ...

都有后门吧应该
回复

使用道具 举报

 楼主| 发表于 2023-7-19 15:29:39 | 显示全部楼层
yangeryuner 发表于 2023-7-18 20:37
这漏洞让我想起一句话:世界上没有绝对刺不破的盾,也没有锋利得能够刺破任何盾的矛~ ...

绝对的安全是没有的。
发现漏洞,及时补上就是最好的。
回复

使用道具 举报

发表于 2023-7-19 16:55:02 | 显示全部楼层
OOO 发表于 2023-7-18 23:30
所以,要不要打补丁?

只要你5月9号之后更新了补丁其实已经打了,只不过微软为了留充足的时间告知用户,还没有实际启用,可以手动改注册表提前启用。至于什么时候正式启用要看微软了。
回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-12-22 00:19 , Processed in 0.087750 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表