那么奈何让 Secure Boot 计谋的代码最优先呢？自然便是让它们所正在的内存地方尽也许的「低」了——你可能将内存地方联念成一个笔直堆叠的构造，正在这个构造中，电脑的运转逻辑会依照从下往上的递次举办读取，是以内存地方越低的代码会先于地方高的代码践诺。为了保障 Secure Boot 的安好性，微软默认便规矩了将它分派正在了尽也许低的地方上，优先于任何 UEFI 运用的代码。

　　正在 Windows 中装置 2023 年 5 月 9 日或之后的安好更新，并重启电脑。

　　至于为什么要采纳云云分阶段的体例来实践一个事合简直统统 Windows 用户的强大更新，因由正如前文所述，无论是 Baton Drop 如故 Windows Boot Manager ，念要彻底管理题目就必需把统统此前有缝隙的 UEFI 固件给「拉黑」，用更新后的 DBX 列外核验启动时加载的每一个 UEFI 运用，从而劝止「黑莲花」云云的恶意 bootkit 混入此中。

　　环球市集占领率最高的操作体例被曝出了雲雲底層的縫隙，微軟當然要垂危開首舉辦修複，早正在客歲一月就推送了 Patch Tuesday 更新發外修複了 Baton Drop 縫隙。但借著 CVE-2022-21894 興風作浪的「黑蓮花」還沒有消停，另一性格子附近的 UEFI 縫隙就被接踵發現出來，這一次是合于 Windows Boot Manager 的 CVE-2023-24932 縫隙。最終，正在本年 5 月 9 號的一則博文中，微軟發外了針對此次底層縫隙的跨度靠近一年的修複安頓：

　　簡化後的「黑蓮花」攻擊流程，其緊要行使的照舊是一年前的 CVE-2022-21894｜ESET

　　（可選）借使你正正在利用極少啓動介質（外接體例盤、Win To Go、U 盤、DVD 等等），正在重啓後的 Windows 中對舉辦它們更新或者重裝，省得閃現正在更新過的設置上無法啓動的處境；借使你舉辦了體例備份，該當從新舉辦一次所有備份，因由同上。

　　正在尋常的體例啓動經過中，Secure Boot 性能會通過加密驗證每一個啓動樞紐正在出廠時就寫入的數字具名來確保它們的安好性，而且直到主體例已畢啓動並動手加載各樣驅動和運用時都正在延續職責著。按理說雲雲主動且強勢的介入體例該當可能杜絕絕公共半的惡意啓動項了，然而 Baton Drop 縫隙卻指出了一條特別希奇的道途。

　　但奈何讓正本「趴低」的 Secure Boot 代碼被 turncatememory 擊中呢？自然便是讓它的代碼被從新分派到更高地方的內存上了。對付一個惡意的 UEFI 運用來說，它可能通過人工竄改後的 BitLocker 元數據來爲我方的 BCD 僞制一個具有極高可托度的起源，

　　而且別忘了，戴爾、聯念等等 OEM 廠商，以及微星、華碩之類的主板廠商們利用的同樣是來自微軟的鏡像或者固件（更不必提微星正在蒲月的一次敲詐軟件攻击中仍然流露了我方的具名密钥），是以借使你买的电脑自带克复盘的话，正在运用了 Windows Boot Manager 修复之后的呆板上也将全部失效。

　　这份唯有 80kB 的 bootkit 便是目前觉察的第一款可能攻破最新版 UEFI Secure Boot 的恶意启动固件——「黑莲花」。

　　除此以外，假使「黑莲花」运转正在咱们看不到的体例启动前流程里，不过它的运转照旧会正在主体例里留下可能追寻的陈迹。借使你可疑我方或者团队中所利用的设置受到了「黑莲花」的攻击，可能参考微软安好博客正在本年四月揭晓的考查攻击指南[1]来排查和克复。

　　这时，一个「船浩劫掉头」的题目就出来了：第三方厂商们修复缝隙推出更新的速率杂乱无章尊龙d88手机客户端最新，微软不行一次性就把统统带缝隙的数字具名全盘增添到 DBX 内部，由于一朝云云做了，DBX 更新后的用户只消还正在利用着没有更新 UEFI 固件的主板或者硬件，就必定会遭受 UEFI 无法无缺的践诺、进而导致无法开机的题目。

　　之是以「黑莲花」可能正在微软针对 Baton Drop 揭晓补丁后泰半年才横空诞生，恰是因为 UEFI 内部这份不行一次性更新完的 DBX 列外。正在这个空档里，「黑莲花」通过自带缝隙驱动（Bring Your Own Vulnerable Driver, BYOVD）的体例，借助临时没有被列入黑名单但具有缝隙的二进制文献举办自具名，进而让我方的 UEFI 运用（也便是上面的 grubx64 ）可能被顺手的运转。

　　至此，一个不怀好意的 UEFI 运用通过伪制的高可托度的 BCD 起源，让正本最优先践诺的 Secure Boot 计谋毫不勉强地「起家让座」。微软封堵缝隙的设施紧要借助了 UEFI 的黑名单机制。行动 Secure Boot 以外的另一道安好技能，UEFI 会预制一份名为 UEFI Forbidden Signature Key（简称为 DBX）的黑名单，每当 UEFI 正在运转中识别到了某一个 UEFI 运用的二进制数字具名与 DBX 相完婚，就会直接禁止这个运用的运转。

　　是以，正在偏向于避免导致大界限启动题目的条件下，微软最终采选了云云一个循序渐进的管理计划。固然现正在还不行说收获明显，不过面临当下愈发屡次的针对 EFI 体例分区（EFI System Partition, ESP）的攻击，尽也许主动的技能如故需要的。

　　Secure Boot 性能得以运转并将恶意圭臬提防于未然的条件，自然是它正在每一个运用启动之前就对它们举办反省，这就请求正在 UEFI 运转时，Secure Boot 的干系代码被优先从内存中提取出来运转、随后才是某个特定的 UEFI 运用。

　　此时借使你可能正在 Windows 事故查看器中找到 ID 为 1035 和 276 的事故，证据手动启用更新告成。

　　而 Baton Drop 缝隙指出 Secure Boot 可能被绕过的道理，恰是出正在它的内存地方分派上。

　　简易来说，正在行使 Baton Drop 缝隙绕过 Secure Boot 之后，「黑莲花」就可能正在 NVRAM 内部正本只读的 MokList 列外中参预一份来自攻击者的机主密钥（Machine Owners Key, MOK）告竣提权和缝隙固化。再次重启后，「黑莲花」的「假大旗」玩成了「真皋比」，Windows 正本的寻常启动圭臬就会读取到这份来自攻击者的 MOK ，一块绿灯地加载「黑莲花」自具名的启动东西 grubx64.efi 和来自攻击者的内核驱动，接踵禁用各样 Windows 安好东西直至主体例启动，最终导致 C&C 攻击。

　　随后，由捷克斯洛伐克的收集安好公司 ESET 主导，「黑莲花」的的确运转逻辑被解包了出来。从道理上讲，它的职责经过与 HIV 有些雷同，HIV 的紧要攻击倾向是人的免疫体例、后续的致病致死往往是免疫体例瘫痪后各样感受惹起的；「黑莲花」则是绕过和禁用 Windows 中的各样安好组件，好比 Secure Boot、BitLocker、代码无缺性反省（HVCI）等等，正在体例全部启动后通过启发 HTTP 长途节制的加载来对倾向设置举办攻击或者偷取：

　　行动电脑启动的根本经过，每个 UEFI 运用也具有必定的自决权，它们可能通过启动装备数据（Boot Configuration Data, BCD）调动筹算机的硬件，此中一个名为 turncatememory 的 BCD 会将特定地方以外的内存照射外中的代码清扫掉，用于给下一个 UEFI 运用腾出内存空间。

　　必要贯注的是，正在手动启用此次更新之后，统统没有正在新体例中更新过的启动介质、官方 ISO 镜像、厂商重装盘、PE 启动器等等将全盘失效，无法开机。

　　借使你只是对付「黑莲花」和与之干系的 UEFI 缝隙的道理感乐趣的话，可能翻阅一下 ESET 本年三月揭晓的考查讲演[2]。正在讲演中，ESET 的恶意软件理会师 Martin Smolár 对「黑莲花」的道理、职责流程和攻击成效都举办了特别苛谨专业的理会。

　　这个自始至终肃静睁着眼睛的圭臬，叫做 Secure Boot（安好启发），是 Windows 启动流程中不成或缺的一环。它会正在操作体例的启动经过中谨慎反省每一项被叫醒的圭臬和驱动，而且会延续运转到进入操作体例的初期阶段，以防备那些心怀鬼胎的圭臬从启动伊始寂然接收极少主要经过，挖穿 Windows 的墙角。

　　果真，不久之后，这个没有全部堵上的穴洞就引来了狼群—— 2022 年 10 月 6 日，有人动手正在黑客论坛上以每份 5000 美元的价值兜销一款号称可能绕过 Secure Boot 而且具有 Ring0 级别内核固化的 bootkit ，最终行动 HTTP 加载器让挟制者告竣 C&C（Command and Control，号令与节制）攻击。

　　不过，此前带有缝隙的 UEFI 固件存正在于来自微软的简直统统 Windows 官方镜像，涵盖界限从 Windows 11 到 Windows 10，以至早至 2008 版的 Windows Server ——换句话说，简直统统你之前下载的 .iso 镜像文献，或者是以此灌装的装置盘、Windows To Go 启动器、各样 Win PE 装置器、公司 IT 部分用来排障或者收集分发的启动镜像，以至是所有备份文献，正在补丁更新之后的电脑大将通通不行启动。

　　这时，借助另一条名为 avoidlowmemory 的 BCD ，一个不怀好意的 UEFI 运用就有权利请求 Secure Boot 计谋（正在字面意旨上）避开低地方、改变到更高的内存地方上了。

　　试念一下，一个圭臬从你按下电源键的那一刻便仍然启动，随后肃静的审视着每一个子圭臬的启动和运转，直到你进入了 Windows 、各样默认启动的软件动手运转之后，它照旧正在肃静的眷注着和驾御着你统统的数据化新闻。

　　借使你仍然据说过了 CVE-2022-21894 缝隙而且实时下载了本年 5 月 9 日的 Windows 安好更新（KB5025885），你可能通过下述次序来启用内部包罗的修复实质：

　　行动连续 Windows 与筹算机硬件的桥梁，UEFI 本身就像是一个袖珍的操作体例相似，正在初始化阶段会次第加载启动分区上的各样 UEFI 运用（UEFI Applications）并最终进入 Windows Boot Manager 、由它来天生启动处境（boot environment），进而遵照处境采选进入独特形式如故主体例。

　　光荣的是002cc全讯开户送白菜，无论是「黑莲花」如故其他尚未浮出水面的针对 ESP 的攻击技能，它们性子上都正在以舍身荫藏性的技能来换取愈加便捷的安顿。正在 ESET 的理会中可能看到，借助「黑莲花」举办 C&C 攻击的十足条件是必要正在倾向设置上践诺「黑莲花」的装置圭臬，这便必要攻击者与倾向举办物理接触、或者通过垂钓邮件之类的体例博得处理员权限——事件而今便又回到了古板的收集安好攻防周围中。

　　不过因为 Windows 自己丰富的发售体例，这些二进制数字具名既也许来自微软，也也许来自发售电脑或者主板的 OEM 厂商，或者是显卡、网卡等等硬件的驱动圭臬具名，而 DBX 取得实时更新的独一体例便是 Windows 升级或者 OEM 厂商供给的固件升级。为了应对 Baton Drop 这种位于 UEFI 层级的缝隙，微软目前能做的便是将确认具有缝隙的数字具名增添到 DBX 内部，再通过 Windows 更新推送给环球的用户。

　　2024 年第一季度的更新中会默认启用针对 CVE-2023-24932 的修复，并强制运用新的 DBX 列外来阻断此前具有缝隙的启动体例。

　　2023 年 5 月 9 日的 CVE-2023-24932 补丁中，将会包罗一份默认不启用的修复圭臬，用户必要参考微软供给的指南我方更新目前利用的启动序言并增添具有针对性的 DBX 列外。

　　而对付正正在利用着 Windows 体例的你我他她来说，咱们现正在能做的便是连结优越的上钩民俗……而且尽量装置一下近期的 Windows 安好更新吧。

　　而 Secure Boot 的运转处境，则被称作 UEFI（同一可扩展固件接口），从 Windows 8 期间动手被微软渐渐推论，用以庖代一经没有图形界面、交互未便利的 BIOS 体例。