CVE-2022-21894

Nome do Software Vulnerável e Versões Afetadas Microsoft Windows 11 (versões afetadas não especificadas)

Descrição Uma falha de bypass de recurso de segurança permite que atacantes contornem o Secure Boot, possibilitando a instalação de bootkits UEFI, como o BlackLotus. Este problema é explorado através da implantação de arquivos binários assinados e vulneráveis na partição do sistema EFI, o que permite ao atacante registrar uma Machine Owner Key (MOK) maliciosa no MokList e nas variáveis NVRAM. Uma vez estabelecida, a ameaça pode utilizar firmware legítimo assinado pela Microsoft para iniciar um bootkit autossinado. Esse nível de persistência permite que o malware controle o processo de inicialização do sistema operacional e desative mecanismos de segurança, incluindo a Integridade de Código Protegida por Hipervisor (HVCI) e o BitLocker. O bootkit também pode implantar um carregador HTTP para se comunicar com servidores de comando e controle para executar comandos e carregar payloads adicionais. Artefatos técnicos são frequentemente depositados no caminho EFIMicrosoftBootsystem32.

Recomendações Reinstale o Windows e utilize a utilidade mokutil para remover a chave MOK maliciosa registrada. Desative os arquivos binários UEFI vulneráveis utilizados para contornar o Secure Boot. Atualize a lista de revogação DBX do Secure Boot para garantir que carregadores de inicialização assinados, porém vulneráveis, sejam bloqueados. Como medida de mitigação temporária, utilize o fwupdmgr para atualizar metadados e o firmware para verificar somas de verificação (checksums) e aplicar atualizações disponíveis.