Bootkit Zero-day Fix – هل هذا هو التصحيح الأكثر حذرًا من Microsoft على الإطلاق؟

أعاد نشره أفلاطون

المتابعون: 0

تشتمل تحديثات Microsoft Patch الثلاثاء مايو 2023 على نوع الخليط الذي تتوقعه على الأرجح.

إذا ذهبت بالأرقام ، فهناك 38 نقاط الضعف، منها سبعة تعتبر مهمة: ستة في Windows نفسه وواحد في SharePoint.

على ما يبدو ، ثلاثة من الثقوب الـ 38 هي عبارة عن أيام صفرية ، لأنها معروفة بالفعل للجمهور ، وقد تم بالفعل استغلال واحدة منها على الأقل من قبل مجرمي الإنترنت.

لسوء الحظ ، يبدو أن هؤلاء المجرمين يشملون عصابة Black Lotus ransomware سيئة السمعة ، لذلك من الجيد رؤية تصحيح يتم تسليمه لـ هذا الثقب الأمني في البريةمدبلج CVE-2023-24932: ميزة أمان التمهيد الآمن تجاوز الثغرات الأمنية.

ومع ذلك ، على الرغم من أنك ستحصل على التصحيح إذا قمت بإجراء تنزيل كامل لـ Patch Tuesday وترك التحديث يكتمل ...

... لن يتم تطبيقه تلقائيًا.

لتنشيط إصلاحات الأمان الضرورية ، ستحتاج إلى قراءة ملف 500 كلمة بعنوان التوجيه المتعلق بتغييرات إدارة التمهيد الآمن المرتبطة بـ CVE-2023-24932.

بعد ذلك ، ستحتاج إلى العمل من خلال ملف مرجع تعليمي التي تصل إلى ما يقرب من 3000 كلمة.

هذا واحد يسمى KB5025885: كيفية إدارة عمليات إبطال Windows Boot Manager لتغييرات التمهيد الآمن المرتبطة بـ CVE-2023-24932.

.s-button + .s-button {margin-left: .3125rem؛ } .s-button {الانتقال: الكل 15 ثانية خطي ؛ حجم الخط: .875rem ؛ ارتفاع الخط: 1.5 ؛ اللون: # f2f2f2 ؛ عائلة الخطوط: SophosSansMedium و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ عرض: مضمنة كتلة ؛ الحشو: .3125rem 1.25rem ؛ المؤشر: المؤشر. محاذاة النص: مركز ؛ زخرفة النص: لا شيء ؛ الحد: 1 بكسل صلب # 005bc8 ؛ نصف قطر الحدود: 3 بكسل ؛ لون الخلفية: # 005bc8 ؛ ظل النص: لا شيء ؛ } .s-button: تحوم {text-decoration: none؛ اللون: #fff ؛ لون الحدود: # 002d62 ؛ لون الخلفية: # 002d62 ؛ } .s-button – white، .s-button – white: تحوم {color: # 005bc8! important؛ لون الحدود: #fff ؛ لون الخلفية: #fff ؛ } .s-ad-sophos-mdr {font-size: 1rem؛ ارتفاع الخط: 1.5 ؛ اللون: # 242629 ؛ عائلة الخطوط: SophosSansRegular و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ الموقف: نسبي ؛ أقصى عرض: 769 بكسل ؛ الهامش: 15 بكسل تلقائي ؛ الحشو: 30 بكسل 30 بكسل 25 بكسل ؛ الانتقال: مربع الظل .25 ثانية مكعب بيزير (.645 ، .045 ، .355 ، 1) ؛ محاذاة النص: مركز ؛ لون الخلفية: # 0d141d ؛ تكرار الخلفية: لا تكرار ؛ موضع الخلفية: 50٪ ؛ حجم الخلفية: غطاء ؛ ظل الصندوق: 0 0 0 0 0 شفاف ؛ لون الخلفية: # 005bc8 ؛ صورة الخلفية: لا شيء ؛ موضع الخلفية: 0 0 ؛ } .s-ad-sophos-mdr__title {font-size: 2rem؛ ارتفاع الخط: 1.125 ؛ الهامش السفلي: 4 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__text {font-family: SophosSansLight، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 17 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__action {margin-top: 15px؛ } .s-ad-sophos-mdr__action .s-button {color: #fff؛ } .s-ad-sophos-mdr__link-wrapper {text-decoration: none؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr {box-shadow: 0 5px 10px 0 rgba (0، 0، 0، .15)؛ } .s-ad-sophos-mdr__sophos-logo {الموقف: مطلق؛ أعلى: 15 بكسل ؛ اليمين: 15 بكسل ؛ } .s-ad-sophos-mdr__sophos-logo-svg {display: inline-block؛ العرض: 64 بكسل ؛ الارتفاع: 11 بكسل ؛ محاذاة عمودية: أعلى ؛ تكرار الخلفية: لا تكرار ؛ حجم الخلفية: 64 بكسل 11 بكسل ؛ } .s-ad-sophos-mdr__title {font-family: SophosSansSemibold، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 28 بكسل ؛ وزن الخط: 700 ؛ ارتفاع الخط: 1 ؛ الهامش السفلي: 10 بكسل ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__title svg {max-width: 100٪؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ ارتفاع الخط: 1.25 ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__action {text-align: right؛ } .s-ad-sophos-mdr .s-button {border-radius: 20px؛ }media (min-width: 769px) {.s-ad-sophos-mdr__text {margin-right: 140px؛ } .s-ad-sophos-mdr__action {الموقف: مطلق؛ اليمين: 30 بكسل ؛ أسفل: 30 بكسل ؛ }}media (max-width: 768px) {.s-ad-sophos-mdr {padding-top: 50px؛ } .s-ad-sophos-mdr__title {font-size: 1.625rem؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ } .s-ad-sophos-mdr {padding-top: 30px؛ }}

مشكلة الإلغاء

إذا كنت قد تابعت تغطيتنا الأخيرة لـ خرق بيانات MSI، ستعرف أنها تتضمن مفاتيح تشفير ذات صلة بأمن البرامج الثابتة التي يُزعم أنها سُرقت من عملاق اللوحة الأم MSI بواسطة عصابة مختلفة من الابتزاز الإلكتروني عبر اسم الشارع Money Message.

ستعرف أيضًا أن المعلقين على المقالات التي كتبناها حول حادثة MSI قد سألوا ، "لماذا لا تقوم MSI بإلغاء المفاتيح المسروقة على الفور ، والتوقف عن استخدامها ، ثم إخراج البرامج الثابتة الجديدة الموقعة بمفاتيح جديدة؟"

كما أوضحنا في سياق تلك القصة ، فإن التنصل من مفاتيح البرامج الثابتة المخترقة لحظر رمز البرامج الثابتة المحتالة يمكن أن يؤدي بسهولة شديدة إلى حالة سيئة لما يُعرف باسم "قانون العواقب غير المقصودة".

على سبيل المثال ، قد تقرر أن الخطوة الأولى والأكثر أهمية هي أن تخبرني ألا أثق في أي شيء موقع بواسطة المفتاح XYZ بعد الآن ، لأن هذا هو الشيء الذي تم اختراقه.

بعد كل شيء ، يعد إبطال المفتاح المسروق الطريقة الأسرع والأكثر ضمانًا لجعله عديم الفائدة للمحتالين ، وإذا كنت سريعًا بما فيه الكفاية ، فقد يتم تغيير القفل قبل أن تتاح لهم فرصة تجربة المفتاح على الإطلاق.

لكن يمكنك أن ترى إلى أين يتجه هذا.

إذا أبطل جهاز الكمبيوتر الخاص بي المفتاح المسروق استعدادًا لاستلام مفتاح جديد وبرنامج ثابت محدث ، لكن جهاز الكمبيوتر الخاص بي يعيد التشغيل (عن طريق الخطأ أو غير ذلك) في لحظة خاطئة ...

... ثم لن يتم الوثوق بالبرنامج الثابت الذي حصلت عليه بالفعل ، ولن أتمكن من التمهيد - ليس من القرص الصلب ، وليس من USB ، وليس خارج الشبكة ، وربما لا يمكنني ذلك على الإطلاق ، لأنني لن أحصل عليه بقدر النقطة الموجودة في رمز البرنامج الثابت حيث يمكنني تحميل أي شيء من جهاز خارجي.

وفرة من الحذر

في حالة Microsoft CVE-2023-24932 ، المشكلة ليست بهذه الخطورة ، لأن التصحيح الكامل لا يبطل البرامج الثابتة الموجودة على اللوحة الأم نفسها.

يتضمن التصحيح الكامل تحديث رمز التمهيد من Microsoft في قسم بدء تشغيل القرص الثابت ، ثم إخبار اللوحة الأم بعدم الوثوق برمز التمهيد القديم غير الآمن بعد الآن.

من الناحية النظرية ، إذا حدث خطأ ما ، فلا يزال بإمكانك التعافي من فشل تمهيد نظام التشغيل ببساطة عن طريق بدء التشغيل من قرص الاسترداد الذي أعددته مسبقًا.

باستثناء أنه لن يثق جهاز الكمبيوتر الخاص بك في أي من أقراص الاسترداد الموجودة لديك في تلك المرحلة ، على افتراض أنها تتضمن مكونات وقت التمهيد التي تم إبطالها الآن وبالتالي لن يقبلها جهاز الكمبيوتر الخاص بك.

مرة أخرى ، لا يزال بإمكانك على الأرجح استعادة بياناتك ، إن لم يكن تثبيت نظام التشغيل بالكامل ، باستخدام جهاز كمبيوتر تم تصحيحه بالكامل لإنشاء صورة استرداد محدثة بالكامل مع رمز التمهيد الجديد ، على افتراض أن لديك جهاز كمبيوتر احتياطي في متناول يدي للقيام بذلك.

أو يمكنك تنزيل صورة تثبيت Microsoft تم تحديثها بالفعل ، بافتراض أن لديك طريقة ما لجلب التنزيل ، وبافتراض أن Microsoft لديها صورة حديثة متاحة تتطابق مع أجهزتك ونظام التشغيل لديك.

(كتجربة ، جلبنا [2023-05-09: 23: 55: 00Z] الأحدث تقييم Windows 11 Enterprise إصدار 64 بت صورة ISO ، والتي يمكن استخدامها للاسترداد والتثبيت ، ولكن لم يتم تحديثها مؤخرًا.)

وحتى إذا كان لديك أنت أو قسم تكنولوجيا المعلومات لديك الوقت والمعدات الاحتياطية لإنشاء صور استرداد بأثر رجعي ، فستظل مشكلة تستغرق وقتًا طويلاً ويمكنك الاستغناء عنها جميعًا ، خاصة إذا كنت تعمل من المنزل وعشرات من الأشخاص الآخرون في شركتك تعرضوا للإحباط في نفس الوقت ويحتاجون إلى إرسال وسائط استرداد جديدة.

تنزيل ، تحضير ، إبطال

لذلك ، قامت Microsoft بتجميع المواد الخام التي تحتاجها لهذا التصحيح في الملفات التي ستحصل عليها عند تنزيل تحديث يوم الثلاثاء لشهر مايو 2023 ، لكنها قررت تمامًا عدم تنشيط جميع الخطوات اللازمة لتطبيق التصحيح تلقائيًا.

بدلاً من ذلك ، تحث Microsoft على ضرورة اتباع عملية يدوية من ثلاث خطوات مثل هذا:

الخطوة 1. قم بإحضار التحديث بحيث يتم تثبيت جميع الملفات التي تحتاجها على القرص الثابت المحلي. سيستخدم جهاز الكمبيوتر الخاص بك رمز التمهيد الجديد ، لكنه سيظل يقبل الرمز القديم القابل للاستغلال في الوقت الحالي. الأهم من ذلك ، أن خطوة التحديث هذه لا تخبر جهاز الكمبيوتر الخاص بك تلقائيًا بإلغاء (أي لم يعد يثق) رمز التمهيد القديم حتى الآن.
الخطوة 2. قم يدويًا بتصحيح جميع أجهزتك القابلة للتمهيد (صور الاسترداد) بحيث يكون عليها رمز التمهيد الجديد. هذا يعني أن صور الاسترداد الخاصة بك ستعمل بشكل صحيح مع جهاز الكمبيوتر الخاص بك حتى بعد إكمال الخطوة 3 أدناه ، ولكن أثناء تحضير أقراص استرداد جديدة ، ستظل أقراصك القديمة تعمل ، في حالة حدوث ذلك. (لن نعطي هنا تعليمات خطوة بخطوة لأن هناك العديد من المتغيرات المختلفة ؛ استشر مرجع مايكروسوفت في حين أن.)
الخطوة 3. اطلب من جهاز الكمبيوتر الخاص بك يدويًا إبطال رمز التمهيد الذي يحتوي على أخطاء في عربات التي تجرها الدواب. تضيف هذه الخطوة معرف تشفير (تجزئة ملف) إلى قائمة حظر البرامج الثابتة باللوحة الأم لمنع استخدام رمز التمهيد القديم الذي يحتوي على أخطاء في المستقبل ، وبالتالي منع استغلال CVE-2023-24932 مرة أخرى. من خلال تأخير هذه الخطوة إلى ما بعد الخطوة 2 ، فإنك تتجنب خطر الوقوع في مشكلة مع جهاز كمبيوتر لا يتم تشغيله وبالتالي لا يمكن استخدامه لإكمال الخطوة 2.

كما ترى ، إذا نفذت الخطوتين 1 و 3 معًا على الفور ، لكن اترك الخطوة 2 حتى وقت لاحق ، وحدث خطأ ما ...

... لن تعمل أي من صور الاسترداد الحالية الخاصة بك بعد الآن لأنها ستحتوي على رمز تمهيد تم رفضه بالفعل وحظره بواسطة جهاز الكمبيوتر الذي تم تحديثه بالكامل بالفعل.

إذا كنت تحب القياس ، فإن حفظ الخطوة 3 حتى النهاية يساعد في منعك من قفل مفاتيحك داخل السيارة.

لن تساعد إعادة تهيئة القرص الثابت المحلي في حالة قفل نفسك ، لأن الخطوة 3 تنقل تجزئات التشفير لرمز التمهيد الذي تم إلغاؤه من التخزين المؤقت على القرص الثابت لديك إلى قائمة "عدم الثقة مرة أخرى" التي تم قفلها في وحدة تخزين آمنة على اللوحة الأم نفسها.

بكلمات Microsoft الرسمية الأكثر دراماتيكية وتكرارًا بشكل مفهوم:

تنبيه

بمجرد تمكين التخفيف من هذه المشكلة على الجهاز ، مما يعني أنه تم تطبيق الإبطال ، لا يمكن التراجع عنها إذا واصلت استخدام التمهيد الآمن على هذا الجهاز. حتى إعادة تهيئة القرص لن يزيل الإلغاء إذا تم تطبيقها بالفعل.

لقد تم تحذيرك!

إذا كنت قلقًا أنت أو فريق تكنولوجيا المعلومات لديك

قدمت Microsoft جدولاً من ثلاث مراحل لهذا التحديث بالذات:

2023-05-09 (الآن). يمكن استخدام العملية اليدوية الكاملة ولكن الخرقاء الموضحة أعلاه لإكمال التصحيح اليوم. إذا كنت قلقًا ، فيمكنك ببساطة تثبيت التصحيح (الخطوة 1 أعلاه) ولكن لا تفعل شيئًا آخر في الوقت الحالي ، مما يترك جهاز الكمبيوتر الخاص بك يشغل رمز التمهيد الجديد وبالتالي يكون جاهزًا لقبول الإبطال الموضح أعلاه ، ولكن لا يزال بإمكانك التمهيد باستخدام أقراص الاسترداد الموجودة. (لاحظ ، بالطبع ، أن هذا يجعله لا يزال قابلاً للاستغلال ، لأنه لا يزال من الممكن تحميل رمز التمهيد القديم.)
2023-07-11 (مدة شهرين). وعدت Safter أدوات النشر التلقائي. من المفترض أن يتم تصحيح جميع تنزيلات تثبيت Microsoft الرسمية بحلول ذلك الوقت ، لذلك حتى إذا حدث خطأ ما ، فستكون لديك طريقة رسمية لجلب صورة استرداد موثوقة. في هذه المرحلة ، نفترض أنك ستكون قادرًا على إكمال التصحيح بأمان وسهولة ، دون الخوض في سطور الأوامر أو اختراق السجل يدويًا.
أوائل عام 2024 (العام المقبل). سيتم تحديث الأنظمة غير المصححة بالقوة ، بما في ذلك التطبيق التلقائي لإبطال التشفير الذي سيمنع وسائط الاسترداد القديمة من العمل على جهاز الكمبيوتر الخاص بك ، وبالتالي نأمل في إغلاق ثقب CVE-2023-24932 بشكل دائم للجميع.

بالمناسبة ، إذا لم يتم تشغيل التمهيد الآمن على جهاز الكمبيوتر الخاص بك ، فيمكنك ببساطة الانتظار حتى تكتمل العملية المكونة من ثلاث مراحل أعلاه تلقائيًا.

بعد كل شيء ، بدون التمهيد الآمن ، يمكن لأي شخص لديه حق الوصول إلى جهاز الكمبيوتر الخاص بك اختراق رمز التمهيد على أي حال ، نظرًا لعدم وجود حماية تشفير نشطة لإغلاق عملية بدء التشغيل.

هل تم تشغيل الصندوق الآمن؟

يمكنك معرفة ما إذا كان الكمبيوتر الخاص بك قد تم تشغيل Secure Boot (التمهيد الآمن) عن طريق تشغيل الأمر MSINFO32:

محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
سك المستقبل مع أدرين أشلي. الوصول هنا.
شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
المصدر https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/

الطابع الزمني: 10 مايو 2023

الطابع الزمني: فبراير 26، 2023

أعاد نشره أفلاطون

أيبك / ملحمة! رقائق إنتل تسرّب أسرارًا حتى النواة يجب ألا تراها ...

S3 Ep102.5: أخطاء تبادل "ProxyNotShell" - أحد الخبراء يتحدث [صوت + نص]

عاجل! تعمل Apple على إصلاح الثغرة الحاسمة في أجهزة iPhone و iPad و Mac

الأمان الجاد: هجمات المستعرض داخل المتصفح - احترس من النوافذ غير الموجودة!

الأمان الجاد: يعود Rowhammer إلى إضاءة جهاز الكمبيوتر الخاص بك

احذر من تطبيقات 2FA المارقة في App Store و Google Play - لا تتعرض للاختراق!

من نحن

البحث العمودي و Ai

الانطلاق

ابق على تواصل

حسابي