- BlackLotus je UEFI bootkit, ktorý obchádza Secure Boot proces (ak je Secure Boot vypnutý) a umožňuje prežiť aj po reštarte systému support.microsoft.com+15support.microsoft.com+15anoopcnair.com+15.
- Táto zraniteľnosť umožňuje načítať neoverený bootloader, čo môže kompromitovať celý systém predtým než sa načíta Windows .
2. AKTUALIZÁCIA KB5026361 – May 2023 Patch Tuesday
- KB5026361 je májová kumulatívna aktualizácia pre Windows 10 (20H2/21H2/22H2), ktorá obsahuje opravy pre:
- CVE‑2023‑24932 (BlackLotus Secure Boot bypass),
- CVE‑2023‑29325 (OLE RCE),
- CVE‑2023‑29336 (Win32k Privilege Escalation) ghacks.net+6support.microsoft.com+6manageengine.com+6bleepingcomputer.com+15pitstop.manageengine.com+15support.microsoft.com+15bleepingcomputer.com+2anoopcnair.com+2anoopcnair.com+2.
- Aktualizácia opravuje zraniteľnosť, no úplné zabezpečenie vyžaduje ďalšie manuálne kroky – implementáciu revokácií Boot Managera reddit.com+9anoopcnair.com+9m365admin.handsontek.net+9.
3. Doplnkové kroky v KB5025885
- KB5025885 je adecvačný návod od Microsoftu k bezpečnému nastaveniu revokácií v Boot Manageri:
- Aktualizácia Certificate Revocation Lists (CRL) pre Boot Manager.
- Inštalácia novej verzie Boot Managera.
- Aktivácia revokácií (pomocou resetu politiky Secure Boot).
- Aplikácia SVN aktualizácie na firmware UEFI anoopcnair.com+13m365admin.handsontek.net+13elevenforum.com+13.
- Tieto kroky nie sú automatické; platí to aj pre nástroje ako SCCM alebo ConfigMgr – vyžadujú špecifickú konfiguráciu obrazu EFI/GPT .
4. 🧰 Reálne riešenia od komunity
- PowerShell Script (napr. od garytown.com) automatizuje kontrolu všetkých troch krokov a definuje, sú či systémy v súlade garytown.com+1garytown.com+1.
- Rôzne fóra (Sysadmin, ElevenForum) zdôrazňujú nutnosť:
- Prvého reštartu,
- Pauzy 5 minút,
- Druhého reštartu pre úplné prejavenie revokácií reddit.com+1pitstop.manageengine.com+1.
- Konflikt s obrazmi bootloader-ov SCCM: po aktivácii revokácií je potrebné aktualizovať i bootovacie obrazy, inak nebudú fungovať reddit.com+6askwoody.com+6m365admin.handsontek.net+6.
5. Risky a obmedzenia
- Negatívny efekt po zapnutí revokácií: Akonáhle sa revokácie aktivujú, Secure Boot sa vráti späť spätným formátovaním alebo preinštalovaním, revokácie zostávajú – nemožno ich vrátiť späť .
- Z tohto dôvodu platí výrazné upozornenie na testovanie v laboratórnych podmienkach pred nasadením na produkčné systémy.
6. Odporúčané kroky
- Nasadiť KB5026361 (alebo novšie) na všetky Windows 10/11 systémy.
- Získať KB5025885 a dôkladne preštudovať dokumentáciu.
- Otestovať doplnkové kroky v lab prostredí (EFI/UEFI, firmware, image, bootloader).
- Použiť komunitné skripty (napr. PowerShell od Garytown) na automatizáciu a validáciu.
- Aktualizovať bootovacie obrazy (SCCM, WinPE) pred aktiváciou revokácií.
- Aplikovať revokácie a vykonať potrebné reštarty so zdržaním.
- Monitorovať systém, firmware a udržiavať ho aktuálny.
📂 Prehľad tabulky krokov
| Krok | Popis |
|---|---|
| 1. Inštalovať KB5026361+ | Získaj základnú úpravu Boot Managera |
| 2. Nasadiť KB5025885 | Získaš návod |
| 3. Testovanie v lab | Skontroluj kompatibilitu s EFI/SCCM |
| 4. Automatizácia | Použi PowerShell skript |
| 5. Aktualizácia obrazov | SSD, WinPE, SCCM |
| 6. Aktivácia revokácií | Reštart, pauza, druhý reštart |
| 7. Overenie v systéme | Uisti sa, že Secure Boot funguje |