Bootkiti nullpäevaparandus – kas see Microsofti kõige ettevaatlikum plaaster üldse?

Bootkiti nullpäevaparandus – kas see Microsofti kõige ettevaatlikum plaaster üldse?

Ajatempel: 10. mai 2023 kell 7:50
Allikasõlm: 2641175
by Paul Ducklin

Microsofti mai 2023 plaastri teisipäeva värskendused sisaldavad just sellist segu, mida arvatavasti ootasite.

Kui numbrite järgi minna, siis neid on 38 XNUMX haavatavust, millest seitset peetakse kriitiliseks: kuus Windowsis endas ja üks SharePointis.

Ilmselt on 38 august kolm nullpäeva, sest need on juba avalikult teada ja vähemalt ühte neist on küberkurjategijad juba aktiivselt ära kasutanud.

Kahjuks näib nende kurjategijate hulka kuuluvat kurikuulus Black Lotus lunavarajõuk, seega on hea näha, et plaaster tarnitakse see looduses olev turvaauk, dubleeritud CVE-2023-24932: Turvalise alglaadimise turvafunktsiooni möödaviimise haavatavus.

Kuid kuigi saate paiga kätte, kui laadite alla täieliku paiga teisipäevase allalaadimise ja lasete värskenduse lõpule viia ...

…seda ei rakendata automaatselt.

Vajalike turvaparanduste aktiveerimiseks peate lugema ja absorbeerima a 500 XNUMX-sõnaline postitus õigus Secure Boot Manageri muudatustega seotud juhised, mis on seotud CVE-2023-24932-ga.

Seejärel peate läbi töötama õpetusviide mis ulatub peaaegu 3000 sõnani.

Seda nimetatakse KB5025885: kuidas hallata Windowsi alglaadimishalduri tühistamisi turvalise alglaadimise muudatuste jaoks, mis on seotud CVE-2023-24932.

Probleem tühistamisega

Kui olete jälginud meie hiljutist kajastust MSI andmete rikkumine, teate, et see hõlmab püsivara turvalisuse seisukohalt olulisi krüptograafilisi võtmeid, mis väidetavalt varastati emaplaadi hiiglaslikult MSI-lt erineva küberväljapressijate jõugu poolt, kes kandis tänavanime Money Message.

Samuti teate, et MSI juhtumi kohta kirjutatud artiklite kommenteerijad on küsinud, "Miks ei tühista MSI kohe varastatud võtmeid, lõpetab nende kasutamise ja lükkab seejärel välja uut püsivara, mis on allkirjastatud uute võtmetega?"

Nagu me selle loo kontekstis selgitasime, võib ohustatud püsivara võtmete lahtiütlemine võimaliku petturliku püsivara koodi blokeerimiseks väga kergesti esile kutsuda nn soovimatute tagajärgede seaduse halva juhtumi.

Näiteks võite otsustada, et esimene ja kõige olulisem samm on öelda mulle, et ma ei usaldaks enam midagi, mis on allkirjastatud võtmega XYZ, kuna see on ohustatud.

Varastatud võtme tühistamine on ju kiireim ja kindlaim viis selle kelmide jaoks kasutuks muuta ning kui oled piisavalt kiire, võid isegi luku vahetada enne, kui nad võtit üldse proovida jõuavad.

Aga sa näed, kuhu see läheb.

Kui mu arvuti tühistab varastatud võtme, valmistudes uue võtme ja värskendatud püsivara vastuvõtmiseks, kuid arvuti taaskäivitub (kogemata või muul viisil) valel hetkel…

…siis ei usaldata enam olemasolevat püsivara ja ma ei saa alglaadida – ei kõvakettalt, USB-lt, võrgust väljas, tõenäoliselt üldse mitte, sest ma ei saa seda kuni püsivara koodi punktini, kus saaksin välisest seadmest midagi laadida.

Ettevaatlikkuse rohkus

Microsofti CVE-2023-24932 puhul pole probleem nii tõsine, sest täielik plaaster ei muuda emaplaadi enda olemasolevat püsivara kehtetuks.

Täielik plaaster hõlmab Microsofti alglaadimiskoodi värskendamist kõvaketta käivitussektsioonis ja seejärel emaplaadi käsklust, et ta ei usaldaks enam vana, ebaturvalist alglaadimiskoodi.

Teoreetiliselt, kui midagi läheb valesti, peaksite siiski suutma operatsioonisüsteemi alglaadimistõrkest taastuda, lihtsalt käivitades varem ettevalmistatud taastekettalt.

Välja arvatud see, et teie arvuti ei usalda sel hetkel ühtegi teie olemasolevat taasteketast, eeldades, et need sisaldavad alglaadimiskomponente, mis on nüüd tühistatud ja seega teie arvuti neid ei aktsepteeri.

Jällegi saate tõenäoliselt taastada oma andmed, kui mitte kogu operatsioonisüsteemi installi, kasutades täielikult paigatud arvutit, et luua täielikult ajakohane taastetõmmis koos uue alglaadimiskoodiga, eeldusel, et teil on selleks on käepärast varuarvuti.

Või võite alla laadida Microsofti installipildi, mida on juba värskendatud, eeldades, et teil on allalaaditava faili toomiseks mingi viis, ja eeldades, et Microsoftil on saadaval värske pilt, mis sobib teie riistvara ja operatsioonisüsteemiga.

(Eksperimendina tõime just [2023-05-09:23:55:00Z] uusima Windows 11 Enterprise Evaluation 64-bitine ISO-pilt, mida saab kasutada nii taastamiseks kui ka installimiseks, kuid seda pole hiljuti värskendatud.)

Ja isegi kui teil või teie IT-osakonnal on aega ja varuseadmeid taastepiltide tagasiulatuvaks loomiseks, on see siiski aeganõudev vaev, milleta saaksite kõik hakkama, eriti kui töötate kodus ja kümneid teisi teie ettevõtte inimesi on samal ajal häiritud ja neile tuleb saata uus taastemeedium.

Laadige alla, valmistage ette, tühistage

Seega on Microsoft lisanud selle paiga jaoks vajalikud toormaterjalid failidesse, mille saate 2023. aasta mai paiga teisipäeva värskenduse allalaadimisel, kuid on üsna meelega otsustanud mitte aktiveerida kõiki plaastri automaatseks rakendamiseks vajalikke samme.

Selle asemel soovitab Microsoft teil järgida kolmeastmelist käsitsi protsessi, nagu see:

  • SAMM 1. Tõmba värskendus, et kõik vajalikud failid oleksid teie kohalikule kõvakettale installitud. Teie arvuti kasutab uut alglaadimiskoodi, kuid aktsepteerib esialgu siiski vana, kasutatavat koodi. Oluline on see, et see värskenduse samm ei käsi teie arvutil automaatselt veel vana algkäivituskoodi tühistada (st mitte enam usaldada).
  • SAMM 2. Paigutage käsitsi kõik oma alglaaditavad seadmed (taastekujutised), et neil oleks uus alglaadimiskood. See tähendab, et teie taastekujutised töötavad teie arvutiga õigesti ka pärast alloleva toimingu 3 täitmist, kuid uute taasteketaste ettevalmistamise ajal töötavad teie vanad igaks juhuks endiselt. (Me ei anna siin samm-sammult juhiseid, kuna on palju erinevaid variante; konsulteerige Microsofti viide selle asemel.)
  • SAMM 3. Käske arvutil käsitsi vigane alglaadimiskood tühistada. See samm lisab teie emaplaadi püsivara blokeerimisloendisse krüptograafilise identifikaatori (faili räsi), et vältida vana, vigase alglaadimiskoodi edaspidist kasutamist, vältides seega CVE-2023-24932 uuesti kasutamist. Kui lükkate selle sammu edasi pärast 2. sammu, väldite ohtu sattuda arvutisse, mis ei käivitu ja mida ei saa seetõttu enam 2. toimingu lõpuleviimiseks kasutada.

Nagu näete, kui teete sammud 1 ja 3 kohe koos, kuid jätate sammu 2 hilisemaks ja midagi läheb valesti ...

…ükski teie olemasolevatest taastekujutistest ei tööta enam, kuna need sisaldavad alglaadimiskoodi, millest teie juba täielikult värskendatud arvuti on juba keeldunud ja keelanud.

Kui teile meeldivad analoogid, aitab 3. sammu salvestamine kuni viimase lõpuni ära hoida võtmete lukustamist autosse.

Kohaliku kõvaketta ümbervormindamine ei aita, kui lukustate end välja, sest 3. samm teisaldab tühistatud alglaadimiskoodi krüptograafilised räsi teie kõvaketta ajutisest salvestusruumist loendisse „Ära usalda enam kunagi”, mis on lukustatud turvalisse salvestusruumi. emaplaat ise.

Microsofti arusaadavalt dramaatilisemate ja korduvate ametlike sõnadega:

ETTEVAATUST

Kui selle probleemi leevendamine on seadmes lubatud, mis tähendab, et tühistamised on rakendatud, ei saa seda enam ennistada, kui jätkate selles seadmes turvalise alglaadimise kasutamist. Isegi ketta ümbervormindamine ei eemalda tühistamisi, kui need on juba rakendatud.

Sind on hoiatatud!

Kui teie või teie IT-meeskond on mures

Microsoft on selle konkreetse värskenduse jaoks esitanud kolmeetapilise ajakava:

  • 2023-05-09 (praegu). Eespool kirjeldatud täielikku, kuid kohmakat käsitsi protsessi saab plaastri lõpuleviimiseks kasutada juba täna. Kui olete mures, võite lihtsalt installida plaastri (samm 1 ülal), kuid ei tee praegu midagi muud, mis jätab teie arvutisse uue alglaadimiskoodi ja on seega valmis aktsepteerima ülalkirjeldatud tühistamist, kuid siiski saab teie arvutiga käivitada. olemasolevad taastekettad. (Muidugi pange tähele, et see jätab selle endiselt kasutatavaks, sest vana alglaadimiskoodi saab siiski laadida.)
  • 2023-07-11 (kaks kuud). Safter automatic deployment tools are promised. Presumably, all official Microsoft installation downloads will be patched by then, so even if something does go wrong you will have an official way to fetch a reliable recovery image. At this point, we assume you will be able to complete the patch safely and easily, without wrangling command lines or hacking the registry by hand.
  • 2024. aasta alguses (järgmisel aastal). Paigaldamata süsteeme värskendatakse sunniviisiliselt, sealhulgas rakendatakse automaatselt krüptograafilisi tühistamisi, mis takistavad vanadel taastekandjatel teie arvutis töötamast, sulgedes seega loodetavasti kõigi jaoks CVE-2023-24932 augu.

Muide, kui teie arvutis pole turvaline alglaadimine sisse lülitatud, võite lihtsalt oodata, kuni ülaltoodud kolmeetapiline protsess automaatselt lõpule jõuab.

Lõppude lõpuks, ilma turvalise käivitamiseta võivad kõik, kellel on juurdepääs teie arvutile, alglaadimiskoodi niikuinii häkkida, kuna puudub aktiivne krüptograafiline kaitse, mis käivitamisprotsessi lukustaks.

KAS MUL ON TURVALINE ALGALGAMINE SISSE lülitatud?

Käsu käivitamisega saate teada, kas teie arvutis on turvaline alglaadimine sisse lülitatud MSINFO32:

Ajatempel:

Veel alates Alasti turvalisus