Bootkit-Zero-Day-Fix ​​– ist das Microsofts vorsichtigster Patch aller Zeiten?

Bootkit-Zero-Day-Fix ​​– ist das Microsofts vorsichtigster Patch aller Zeiten?

Zeitstempel: 10. Mai 2023, 7:50 Uhr
Quellknoten: 2641175
by Paul Ducklin

Die Patch-Dienstag-Updates von Microsoft vom Mai 2023 bieten genau die Mischung, die Sie wahrscheinlich erwartet haben.

Wenn man nach Zahlen geht, gibt es welche 38 Schwachstellen, von denen sieben als kritisch gelten: sechs in Windows selbst und eine in SharePoint.

Offenbar handelt es sich bei drei der 38 Lücken um Zero-Day-Lücken, da sie bereits öffentlich bekannt sind und mindestens eine davon bereits aktiv von Cyberkriminellen ausgenutzt wurde.

Leider scheint zu diesen Kriminellen auch die berüchtigte Ransomware-Bande Black Lotus zu gehören, daher ist es gut, dass ein Patch bereitgestellt wird diese offene Sicherheitslückesynchronisiert CVE-2023-24932: Sicherheitslücke bei der Umgehung der Secure Boot-Sicherheitsfunktion.

Allerdings erhalten Sie den Patch, wenn Sie einen vollständigen Patch Tuesday-Download durchführen und das Update abschließen lassen …

…es wird nicht automatisch angewendet.

Um die erforderlichen Sicherheitsupdates zu aktivieren, müssen Sie a lesen und verstehen Post mit 500 Wörtern berechtigt Anleitung zu Änderungen am Secure Boot Manager im Zusammenhang mit CVE-2023-24932.

Dann müssen Sie eine durcharbeiten Anleitungsreferenz das umfasst fast 3000 Wörter.

Der heißt KB5025885: So verwalten Sie die Windows Boot Manager-Sperrungen für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932.

Das Problem mit dem Widerruf

Wenn Sie unsere aktuelle Berichterstattung über das verfolgt haben MSI-Datenverstoß, wissen Sie, dass es sich um kryptografische Schlüssel handelt, die für die Firmware-Sicherheit relevant sind und angeblich von einer anderen Cyber-Erpresserbande namens Money Message vom Motherboard-Riesen MSI gestohlen wurden.

Sie wissen auch, dass Kommentatoren der Artikel, die wir über den MSI-Vorfall geschrieben haben, gefragt haben: „Warum widerruft MSI nicht sofort die gestohlenen Schlüssel, stellt deren Verwendung ein und veröffentlicht dann eine neue Firmware, die mit neuen Schlüsseln signiert ist?“

Wie wir im Zusammenhang mit dieser Geschichte erklärt haben, kann die Ablehnung kompromittierter Firmware-Schlüssel, um möglichen bösartigen Firmware-Code zu blockieren, sehr leicht einen schlimmen Fall des sogenannten „Gesetzes der unbeabsichtigten Konsequenzen“ hervorrufen.

Beispielsweise könnten Sie beschließen, dass der erste und wichtigste Schritt darin besteht, mir mitzuteilen, dass ich nichts mehr vertrauen soll, was mit dem Schlüssel XYZ signiert ist, weil das kompromittiert wurde.

Schließlich ist die Einziehung des gestohlenen Schlüssels der schnellste und sicherste Weg, ihn für die Betrüger unbrauchbar zu machen, und wenn Sie schnell genug sind, können Sie sogar das Schloss austauschen lassen, bevor sie den Schlüssel überhaupt ausprobieren können.

Aber Sie können sehen, wohin das führt.

Wenn mein Computer den gestohlenen Schlüssel widerruft, um ihn auf den Erhalt eines neuen Schlüssels und der aktualisierten Firmware vorzubereiten, mein Computer jedoch (aus Versehen oder aus anderen Gründen) im falschen Moment neu startet …

… dann ist die Firmware, die ich bereits habe, nicht mehr vertrauenswürdig und ich kann nicht booten – nicht von der Festplatte, nicht von USB, nicht vom Netzwerk, wahrscheinlich überhaupt nicht, weil ich sie nicht bekomme So weit im Firmware-Code, wo ich alles von einem externen Gerät laden konnte.

Eine Fülle von Vorsicht

Im Fall CVE-2023-24932 von Microsoft ist das Problem nicht ganz so schwerwiegend, da der vollständige Patch die vorhandene Firmware auf dem Motherboard selbst nicht ungültig macht.

Der vollständige Patch beinhaltet die Aktualisierung des Microsoft-Startcodes in der Startpartition Ihrer Festplatte und die anschließende Anweisung an Ihr Motherboard, dem alten, unsicheren Startcode nicht mehr zu vertrauen.

Wenn etwas schief geht, sollten Sie theoretisch immer noch in der Lage sein, einen Betriebssystem-Startfehler zu beheben, indem Sie einfach von einer zuvor vorbereiteten Wiederherstellungsdiskette starten.

Allerdings wird Ihr Computer zu diesem Zeitpunkt keiner Ihrer vorhandenen Wiederherstellungsdisketten vertrauen, vorausgesetzt, dass sie Startzeitkomponenten enthalten, die jetzt widerrufen wurden und daher von Ihrem Computer nicht akzeptiert werden.

Auch hier können Sie wahrscheinlich immer noch Ihre Daten, wenn nicht sogar Ihre gesamte Betriebssysteminstallation, wiederherstellen, indem Sie einen Computer verwenden, der vollständig gepatcht wurde, um ein vollständig aktuelles Wiederherstellungsabbild mit dem neuen Startcode darauf zu erstellen, sofern dies der Fall ist einen Ersatzcomputer zur Hand, um das zu tun.

Oder Sie können ein bereits aktualisiertes Microsoft-Installationsimage herunterladen, vorausgesetzt, Sie haben eine Möglichkeit, den Download abzurufen, und vorausgesetzt, Microsoft verfügt über ein neues Image, das zu Ihrer Hardware und Ihrem Betriebssystem passt.

(Als Experiment haben wir gerade [2023-05-09:23:55:00Z] die neueste Version abgerufen Windows 11 Enterprise-Evaluierung 64-Bit ISO-Image, das sowohl für die Wiederherstellung als auch für die Installation verwendet werden kann, aber in letzter Zeit nicht aktualisiert wurde.)

Und selbst wenn Sie oder Ihre IT-Abteilung über die Zeit und die Ersatzausrüstung verfügen, um im Nachhinein Wiederherstellungsabbilder zu erstellen, wird dies immer noch ein zeitraubender Aufwand sein, auf den Sie alle verzichten könnten, insbesondere wenn Sie Dutzende von zu Hause aus arbeiten Andere Personen in Ihrem Unternehmen wurden gleichzeitig behindert und müssen neue Wiederherstellungsmedien erhalten.

Herunterladen, vorbereiten, widerrufen

Daher hat Microsoft die Rohmaterialien, die Sie für diesen Patch benötigen, in die Dateien integriert, die Sie erhalten, wenn Sie Ihr Patch Tuesday-Update vom Mai 2023 herunterladen, hat sich jedoch ganz bewusst dagegen entschieden, alle Schritte zu aktivieren, die zur automatischen Anwendung des Patches erforderlich sind.

Stattdessen empfiehlt Microsoft dringend, einen dreistufigen manuellen Prozess wie diesen zu befolgen:

  • STEP 1. Laden Sie das Update herunter, damit alle benötigten Dateien auf Ihrer lokalen Festplatte installiert werden. Ihr Computer verwendet den neuen Startcode, akzeptiert jedoch vorerst noch den alten, ausnutzbaren Code. Wichtig ist, dass dieser Schritt des Updates Ihren Computer noch nicht automatisch anweist, den alten Boot-Code zu widerrufen (dh ihm nicht mehr zu vertrauen).
  • STEP 2. Patchen Sie alle Ihre bootfähigen Geräte (Wiederherstellungsimages) manuell, damit sie den neuen Boot-Code haben. Dies bedeutet, dass Ihre Wiederherstellungsabbilder auch nach Abschluss von Schritt 3 unten ordnungsgemäß mit Ihrem Computer funktionieren. Während Sie jedoch neue Wiederherstellungsdisketten vorbereiten, funktionieren Ihre alten für alle Fälle weiterhin. (Auf eine Schritt-für-Schritt-Anleitung verzichten wir hier, da es viele verschiedene Varianten gibt; bitte konsultieren Referenz von Microsoft stattdessen.)
  • STEP 3. Weisen Sie Ihren Computer manuell an, den fehlerhaften Startcode zu widerrufen. Dieser Schritt fügt der Firmware-Blocklist Ihres Motherboards eine kryptografische Kennung (einen Datei-Hash) hinzu, um zu verhindern, dass der alte, fehlerhafte Boot-Code in Zukunft verwendet wird, und verhindert so, dass CVE-2023-24932 erneut ausgenutzt wird. Indem Sie diesen Schritt auf einen Zeitpunkt nach Schritt 2 verschieben, vermeiden Sie das Risiko, mit einem Computer hängenzubleiben, der nicht startet und daher nicht mehr für die Ausführung von Schritt 2 verwendet werden kann.

Wie Sie sehen, geht etwas schief, wenn Sie die Schritte 1 und 3 sofort gemeinsam ausführen, Schritt 2 aber auf später verschieben …

…funktioniert keines Ihrer vorhandenen Wiederherstellungsabbilder mehr, da es Startcode enthält, der bereits von Ihrem bereits vollständig aktualisierten Computer abgelehnt und gesperrt wurde.

Wenn Sie Analogien mögen, können Sie Schritt 3 bis zum Schluss aufsparen, um zu verhindern, dass Sie Ihre Schlüssel im Auto einsperren.

Das Neuformatieren Ihrer lokalen Festplatte hilft nicht, wenn Sie sich selbst aussperren, da Schritt 3 die kryptografischen Hashes des widerrufenen Startcodes aus dem temporären Speicher auf Ihrer Festplatte in eine „Nie wieder vertrauen“-Liste überträgt, die in einem sicheren Speicher auf der Festplatte gesperrt ist Motherboard selbst.

In den verständlicherweise dramatischeren und sich wiederholenden offiziellen Worten von Microsoft:

VORSICHT

Sobald die Abhilfemaßnahme für dieses Problem auf einem Gerät aktiviert ist, d. h. die Sperrungen angewendet wurden, kann sie nicht mehr rückgängig gemacht werden, wenn Sie weiterhin Secure Boot auf diesem Gerät verwenden. Selbst durch eine Neuformatierung der Festplatte werden die Sperrungen nicht entfernt, wenn sie bereits angewendet wurden.

Du wurdest gewarnt!

Wenn Sie oder Ihr IT-Team besorgt sind

Microsoft hat für dieses spezielle Update einen dreistufigen Zeitplan bereitgestellt:

  • 2023 (jetzt). Der oben beschriebene umfassende, aber umständliche manuelle Prozess kann verwendet werden, um den Patch noch heute fertigzustellen. Wenn Sie sich Sorgen machen, können Sie einfach den Patch installieren (Schritt 1 oben), aber jetzt nichts anderes tun. Dadurch wird auf Ihrem Computer der neue Boot-Code ausgeführt und er ist daher bereit, den oben beschriebenen Widerruf zu akzeptieren, aber immer noch mit Ihrem zu booten vorhandene Wiederherstellungsdisketten. (Beachten Sie natürlich, dass es dadurch immer noch ausnutzbar bleibt, da der alte Boot-Code weiterhin geladen werden kann.)
  • 2023 (in zwei Monaten). Es werden automatische Bereitstellungstools von Safter versprochen. Vermutlich werden bis dahin alle offiziellen Microsoft-Installationsdownloads gepatcht sein, sodass Sie selbst dann, wenn etwas schief gehen sollte, eine offizielle Möglichkeit haben, ein zuverlässiges Wiederherstellungsimage abzurufen. An diesem Punkt gehen wir davon aus, dass Sie den Patch sicher und einfach abschließen können, ohne Befehlszeilen zu manipulieren oder die Registrierung manuell zu hacken.
  • Anfang 2024 (nächstes Jahr). Ungepatchte Systeme werden zwangsweise aktualisiert, einschließlich der automatischen Anwendung der kryptografischen Sperrungen, die verhindern, dass alte Wiederherstellungsmedien auf Ihrem Computer funktionieren, und so hoffentlich die CVE-2023-24932-Lücke dauerhaft für alle schließen.

Übrigens: Wenn auf Ihrem Computer Secure Boot nicht aktiviert ist, können Sie einfach warten, bis der oben beschriebene dreistufige Vorgang automatisch abgeschlossen wird.

Denn ohne Secure Boot könnte ohnehin jeder, der Zugriff auf Ihren Computer hat, den Boot-Code hacken, da es keinen aktiven kryptografischen Schutz gibt, der den Startvorgang blockiert.

HABE ICH SECURE BOOT AKTIVIERT?

Sie können herausfinden, ob auf Ihrem Computer Secure Boot aktiviert ist, indem Sie den Befehl ausführen MSINFO32:

Zeitstempel:

Mehr von Nackte Sicherheit