Bootkit zero-day fix – er dette Microsofts mest forsigtige patch nogensinde?

Bootkit zero-day fix – er dette Microsofts mest forsigtige patch nogensinde?

Tidsstempel: 10. maj 2023 kl. 7
Kildeknude: 2641175
by Paul Ducklin

Microsofts maj 2023 Patch Tuesday-opdateringer omfatter netop den slags blanding, du sandsynligvis forventede.

Hvis du går efter tal, er der 38 sårbarheder, hvoraf syv betragtes som kritiske: seks i selve Windows og én i SharePoint.

Tilsyneladende er tre af de 38 huller nul-dage, fordi de allerede er offentligt kendte, og mindst et af dem er allerede blevet aktivt udnyttet af cyberkriminelle.

Desværre synes disse kriminelle at inkludere den berygtede Black Lotus ransomware-bande, så det er godt at se en patch leveret til dette in-the-wild sikkerhedshul, døbt CVE-2023-24932: Secure Boot Security Feature Bypass sårbarhed.

Men selvom du får patchen, hvis du udfører en fuld Patch Tuesday download og lader opdateringen fuldføre ...

…det vil ikke automatisk blive anvendt.

For at aktivere de nødvendige sikkerhedsrettelser skal du læse og absorbere en 500 ords indlæg Med titlen Vejledning relateret til Secure Boot Manager-ændringer forbundet med CVE-2023-24932.

Derefter skal du arbejde dig igennem en instruktionsreference der løber til næsten 3000 ord.

Den hedder den KB5025885: Sådan administreres Windows Boot Manager-tilbagekaldelser for Secure Boot-ændringer forbundet med CVE-2023-24932.

Besværet med tilbagekaldelse

Hvis du har fulgt vores seneste dækning af MSI databrud, vil du vide, at det involverer kryptografiske nøgler, der er relevante for firmwaresikkerhed, som angiveligt blev stjålet fra bundkortgiganten MSI af en anden bande af cyberafpressere, der går under gadenavnet Money Message.

Du vil også vide, at kommentatorer på de artikler, vi har skrevet om MSI-hændelsen, har spurgt, "Hvorfor tilbagekalder MSI ikke straks de stjålne nøgler, holder op med at bruge dem og skubber derefter ny firmware, der er signeret med nye nøgler?"

Som vi har forklaret i forbindelse med den historie, kan det meget nemt at afvise kompromitterede firmwarenøgler for at blokere mulig useriøs firmwarekode meget let fremprovokere et dårligt tilfælde af det, der er kendt som "loven om utilsigtede konsekvenser".

For eksempel kan du beslutte, at det første og vigtigste skridt er at fortælle mig, at jeg ikke længere skal stole på noget, der er underskrevet af nøglen XYZ, fordi det er den, der er blevet kompromitteret.

Når alt kommer til alt, er tilbagekaldelse af den stjålne nøgle den hurtigste og sikreste måde at gøre den ubrugelig for skurkene, og hvis du er hurtig nok, kan du endda få skiftet låsen, før de overhovedet har en chance for at prøve nøglen.

Men du kan se, hvor det går hen.

Hvis min computer tilbagekalder den stjålne nøgle som forberedelse til at modtage en ny nøgle og opdateret firmware, men min computer genstarter (ved et uheld eller på anden måde) på det forkerte tidspunkt...

…så vil den firmware, jeg allerede har, ikke længere være tillid til, og jeg vil ikke være i stand til at starte – ikke fra harddisken, ikke fra USB, ikke fra netværket, sandsynligvis slet ikke, for jeg får ikke så vidt det punkt i firmwarekoden, hvor jeg kunne indlæse alt fra en ekstern enhed.

En overflod af forsigtighed

I Microsofts CVE-2023-24932 tilfælde er problemet ikke helt så alvorligt som det, fordi den fulde patch ikke ugyldiggør den eksisterende firmware på selve bundkortet.

Den fulde patch indebærer opdatering af Microsofts opstartskode i din harddisks startpartition og derefter fortælle dit bundkort ikke længere at stole på den gamle, usikre opstartskode.

I teorien, hvis noget går galt, bør du stadig være i stand til at gendanne efter en opstartsfejl i operativsystemet blot ved at starte op fra en gendannelsesdisk, du forberedte tidligere.

Bortset fra, at ingen af ​​dine eksisterende gendannelsesdiske vil blive betroet af din computer på det tidspunkt, forudsat at de inkluderer opstartskomponenter, som nu er blevet tilbagekaldt og derfor ikke vil blive accepteret af din computer.

Igen, du kan stadig sandsynligvis gendanne dine data, hvis ikke hele din operativsysteminstallation, ved at bruge en computer, der er blevet fuldt patchet til at skabe et fuldt opdateret gendannelsesbillede med den nye opstartskode på, forudsat at du har en ekstra computer praktisk til at gøre det.

Eller du kan downloade et Microsoft-installationsbillede, der allerede er blevet opdateret, forudsat at du har en måde at hente downloadet på, og forudsat at Microsoft har et nyt billede tilgængeligt, der matcher din hardware og dit operativsystem.

(Som et eksperiment har vi lige hentet [2023-05-09:23:55:00Z] den seneste Windows 11 Enterprise Evaluation 64-bit ISO-billede, som kan bruges til gendannelse såvel som installation, men det var ikke blevet opdateret for nylig.)

Og selvom du eller din it-afdeling har tiden og det ekstra udstyr til at lave gendannelsesbilleder retrospektivt, vil det stadig være et tidskrævende besvær, som I alle kunne undvære, især hvis I arbejder hjemmefra og dusinvis af andre personer i din virksomhed er blevet forhindret på samme tid og skal sendes nye genoprettelsesmedier.

Download, klargør, tilbagekald

Så Microsoft har indbygget de råmaterialer, du har brug for til denne patch, i de filer, du får, når du downloader din maj 2023 Patch Tuesday-opdatering, men har helt bevidst besluttet ikke at aktivere alle de nødvendige trin for at anvende patchen automatisk.

I stedet opfordrer Microsoft til, at du skal følge en tre-trins manuel proces som denne:

  • TRIN 1. Hent opdateringen, så alle de filer, du skal bruge, er installeret på din lokale harddisk. Din computer vil bruge den nye opstartskode, men vil stadig acceptere den gamle, udnyttelige kode indtil videre. Det er vigtigt, at dette trin i opdateringen ikke automatisk fortæller din computer om at tilbagekalde (dvs. ikke længere stole på) den gamle opstartskode endnu.
  • TRIN 2. Patch manuelt alle dine bootbare enheder (gendannelsesbilleder), så de har den nye opstartskode på sig. Det betyder, at dine gendannelsesbilleder vil fungere korrekt med din computer, selv efter du har gennemført trin 3 nedenfor, men mens du forbereder nye gendannelsesdiske, vil dine gamle stadig fungere, for en sikkerheds skyld. (Vi kommer ikke til at give trin-for-trin instruktioner her, fordi der er mange forskellige varianter; konsulter Microsofts reference i stedet.)
  • TRIN 3. Fortæl din computer manuelt at tilbagekalde buggy bootup-koden. Dette trin tilføjer en kryptografisk identifikator (en filhash) til dit bundkorts firmwareblokeringsliste for at forhindre, at den gamle, buggy opstartskode bliver brugt i fremtiden, og dermed forhindrer CVE-2023-24932 i at blive udnyttet igen. Ved at udsætte dette trin til efter trin 2, undgår du risikoen for at sidde fast med en computer, der ikke vil starte og derfor ikke længere kan bruges til at gennemføre trin 2.

Som du kan se, hvis du udfører trin 1 og 3 sammen med det samme, men forlader trin 2 til senere, og noget går galt...

…ingen af ​​dine eksisterende gendannelsesbilleder vil fungere længere, fordi de vil indeholde opstartskode, der allerede er blevet afvist og forbudt af din allerede fuldt opdaterede computer.

Hvis du kan lide analogier, hjælper det med at gemme trin 3 til sidst af alle med at forhindre dig i at låse dine nøgler inde i bilen.

Omformatering af din lokale harddisk hjælper ikke, hvis du låser dig selv ude, fordi trin 3 overfører de kryptografiske hashes for den tilbagekaldte opstartskode fra midlertidig lagring på din harddisk til en "aldrig stol på igen"-liste, der er låst til sikker lagring på selve bundkortet.

Med Microsofts forståeligt nok mere dramatiske og gentagne officielle ord:

FORSIGTIG

Når først afhjælpningen af ​​dette problem er aktiveret på en enhed, hvilket betyder, at tilbagekaldelserne er blevet anvendt, kan det ikke fortrydes, hvis du fortsætter med at bruge sikker opstart på den pågældende enhed. Selv omformatering af disken vil ikke fjerne tilbagekaldelserne, hvis de allerede er blevet anvendt.

Du er blevet advaret!

Hvis du eller dit IT-team er bekymrede

Microsoft har leveret en tre-trins tidsplan for denne særlige opdatering:

  • 2023-05-09 (nu). Den fuldstændige, men klodsede manuelle proces beskrevet ovenfor, kan bruges til at færdiggøre patchen i dag. Hvis du er bekymret, kan du blot installere patchen (trin 1 ovenfor), men ikke gøre andet lige nu, hvilket efterlader din computer med at køre den nye opstartskode og derfor klar til at acceptere tilbagekaldelsen beskrevet ovenfor, men stadig i stand til at starte op med din eksisterende genoprettelsesdiske. (Bemærk selvfølgelig, at dette stadig lader den udnyttes, fordi den gamle opstartskode stadig kan indlæses.)
  • 2023-07-11 (to måneders tid). Der loves mere sikre automatiske implementeringsværktøjer. Formentlig vil alle officielle Microsoft-installationsdownloads være rettet til den tid, så selvom noget går galt, vil du have en officiel måde at hente et pålideligt gendannelsesbillede. På dette tidspunkt antager vi, at du vil være i stand til at fuldføre patchen sikkert og nemt uden at skændes med kommandolinjer eller hacke registreringsdatabasen manuelt.
  • Tidligt i 2024 (næste år). Ikke-patchede systemer vil blive tvangsopdateret, herunder automatisk anvendelse af de kryptografiske tilbagekaldelser, der forhindrer gamle gendannelsesmedier i at arbejde på din computer, og dermed forhåbentlig lukke CVE-2023-24932 hullet permanent for alle.

Forresten, hvis din computer ikke har Secure Boot slået til, så kan du blot vente på, at ovenstående tre-trins proces fuldføres automatisk.

Når alt kommer til alt, uden Secure Boot, kunne enhver med adgang til din computer alligevel hacke opstartskoden, da der ikke er nogen aktiv kryptografisk beskyttelse til at låse opstartsprocessen ned.

HAR JEG SIKKER STØVEL TÆNDT?

Du kan finde ud af, om din computer har Secure Boot slået til ved at køre kommandoen MSINFO32:

Tidsstempel:

Mere fra Naked Security