تعمیر روز صفر Bootkit – آیا این محتاطانه ترین وصله مایکروسافت تا کنون است؟

به‌روزرسانی‌های وصله سه‌شنبه می ۲۰۲۳ مایکروسافت دقیقاً همان ترکیبی است که احتمالاً انتظار داشتید.

اگر با اعداد پیش بروید، وجود دارد 38،XNUMX آسیب پذیری، که هفت مورد آن حیاتی در نظر گرفته می شود: شش در خود ویندوز و یکی در شیرپوینت.

ظاهراً سه سوراخ از 38 حفره روز صفر هستند، زیرا قبلاً به طور عمومی شناخته شده اند و حداقل یکی از آنها قبلاً به طور فعال توسط مجرمان سایبری مورد سوء استفاده قرار گرفته است.

متأسفانه، به نظر می رسد که این جنایتکاران شامل باج افزار بدنام Black Lotus هستند، بنابراین خوب است که یک پچ را ببینید که برای این حفره امنیتی در طبیعتلقب گرفته CVE-2023-24932: آسیب پذیری دور زدن ویژگی امنیتی بوت امن.

با این حال، اگر چه اگر یک پچ سه شنبه کامل دانلود کنید و اجازه دهید به روز رسانی کامل شود، پچ را دریافت خواهید کرد…

... به طور خودکار اعمال نمی شود.

برای فعال کردن اصلاحات امنیتی لازم، باید a را بخوانید و جذب کنید پست 500 کلمه ای محق راهنمای مربوط به تغییرات Secure Boot Manager مرتبط با CVE-2023-24932.

سپس، شما باید از طریق یک کار کنید مرجع آموزشی که تقریباً 3000 کلمه را شامل می شود.

آن یکی نامیده می شود KB5025885: نحوه مدیریت ابطال های Windows Boot Manager برای تغییرات Secure Boot مرتبط با CVE-2023-24932.

مشکل با ابطال

اگر پوشش اخیر ما را دنبال کرده اید نقض داده های MSIمی‌دانید که شامل کلیدهای رمزنگاری مرتبط با امنیت سیستم‌افزار است که گفته می‌شود از غول مادربرد MSI توسط گروه دیگری از اخاذی‌های سایبری به نام خیابان Money Message به سرقت رفته است.

شما همچنین می دانید که نظر دهندگان در مقالاتی که ما در مورد حادثه MSI نوشته ایم پرسیده اند: "چرا MSI بلافاصله کلیدهای دزدیده شده را باطل نمی کند، استفاده از آنها را متوقف نمی کند و سپس سیستم عامل جدید امضا شده با کلیدهای جدید را خارج نمی کند؟"

همانطور که در زمینه آن داستان توضیح دادیم، انکار کلیدهای سفت‌افزار به خطر افتاده برای مسدود کردن کد احتمالی میان‌افزار سرکش می‌تواند به راحتی باعث ایجاد یک مورد بد از آنچه به عنوان "قانون پیامدهای ناخواسته" شناخته می‌شود، شود.

به عنوان مثال، ممکن است تصمیم بگیرید که اولین و مهمترین مرحله این است که به من بگویید دیگر به چیزی که توسط کلید XYZ امضا شده است اعتماد نکنم، زیرا این مورد به خطر افتاده است.

به هر حال، باطل کردن کلید دزدیده شده سریع ترین و مطمئن ترین راه برای بی استفاده کردن آن برای کلاهبرداران است، و اگر به اندازه کافی سریع باشید، حتی ممکن است قبل از اینکه آنها فرصتی برای امتحان کردن کلید داشته باشند، قفل را عوض کنید.

اما شما می توانید ببینید که این به کجا می رود.

اگر رایانه من برای آماده شدن برای دریافت یک کلید جدید و سیستم عامل به روز شده، کلید سرقت شده را باطل کند، اما رایانه من (به طور تصادفی یا در غیر این صورت) در لحظه اشتباه راه اندازی مجدد شود…

... سپس به سیستم عاملی که قبلاً دریافت کرده ام دیگر قابل اعتماد نخواهد بود و من نمی توانم بوت کنم - نه از هارد دیسک، نه از USB، نه از شبکه، احتمالاً اصلاً، زیرا نمی توانم آن را راه اندازی کنم. تا جایی که در کد میان‌افزار می‌توانم هر چیزی را از یک دستگاه خارجی بارگیری کنم.

احتیاط فراوان

در مورد CVE-2023-24932 مایکروسافت، مشکل به این شدت نیست، زیرا وصله کامل سیستم عامل موجود در خود مادربرد را باطل نمی کند.

وصله کامل شامل به روز رسانی کد بوت آپ مایکروسافت در پارتیشن راه اندازی دیسک سخت است و سپس به مادربرد خود بگویید که دیگر به کد راه اندازی قدیمی و ناامن اعتماد نکند.

در تئوری، اگر مشکلی پیش بیاید، همچنان باید بتوانید به سادگی با راه‌اندازی از دیسک بازیابی که قبلاً آماده کرده‌اید، از خرابی بوت سیستم عامل بازیابی کنید.

به جز این که هیچ یک از دیسک های بازیابی موجود شما در آن نقطه مورد اعتماد رایانه شما قرار نخواهند گرفت، با این فرض که شامل اجزای زمان راه اندازی هستند که اکنون باطل شده اند و بنابراین توسط رایانه شما پذیرفته نمی شوند.

باز هم، شما هنوز هم احتمالاً می توانید با استفاده از رایانه ای که به طور کامل وصله شده است برای ایجاد یک تصویر بازیابی کاملاً به روز با کد بوت آپ جدید روی آن، اطلاعات خود را بازیابی کنید، اگر نه کل نصب سیستم عامل خود، با فرض اینکه یک کامپیوتر یدکی که برای این کار مفید است.

یا می‌توانید یک تصویر نصب مایکروسافت را دانلود کنید که قبلاً به‌روزرسانی شده است، با این فرض که راهی برای دریافت دانلود دارید، و فرض کنید که مایکروسافت تصویر جدیدی در دسترس دارد که با سخت‌افزار و سیستم عامل شما مطابقت دارد.

(به عنوان یک آزمایش، ما به تازگی [2023-05-09:23:55:00Z] جدیدترین را واکشی کردیم Windows 11 Enterprise Evaluation 64 بیتی تصویر ISO، که می تواند برای بازیابی و نصب استفاده شود، اما اخیراً به روز نشده بود.)

و حتی اگر شما یا بخش فناوری اطلاعات شما زمان و تجهیزات یدکی برای ایجاد تصاویر بازیابی به صورت گذشته را داشته باشید، باز هم دردسری زمان‌بر خواهد بود که همه شما می‌توانید بدون آن انجام دهید، به خصوص اگر از خانه و ده‌ها مورد کار می‌کنید. سایر افراد در شرکت شما به طور همزمان مسدود شده اند و باید رسانه های بازیابی جدید برای آنها ارسال شود.

دانلود، آماده سازی، لغو

بنابراین، مایکروسافت مواد خام مورد نیاز شما برای این وصله را در فایل‌هایی که هنگام دانلود به‌روزرسانی پچ سه‌شنبه می ۲۰۲۳ دریافت خواهید کرد، قرار داده است، اما کاملاً عمداً تصمیم گرفته است که تمام مراحل مورد نیاز برای اعمال خودکار وصله را فعال نکند.

در عوض، مایکروسافت از شما می خواهد که یک فرآیند دستی سه مرحله ای مانند زیر را دنبال کنید:

• مرحله 1 به روز رسانی را واکشی کنید تا تمام فایل های مورد نیاز بر روی هارد دیسک محلی شما نصب شوند. رایانه شما از کد راه‌اندازی جدید استفاده می‌کند، اما همچنان کد قدیمی و قابل بهره‌برداری را در حال حاضر می‌پذیرد. نکته مهم، این مرحله از به‌روزرسانی به‌طور خودکار به رایانه شما نمی‌گوید که هنوز کد راه‌اندازی قدیمی را لغو کند (یعنی دیگر به آن اعتماد نکنید).
• مرحله 2 همه دستگاه‌های قابل بوت (تصاویر بازیابی) را به‌صورت دستی وصله کنید تا کد راه‌اندازی جدید روی آن‌ها باشد. این بدان معنی است که تصاویر بازیابی شما حتی پس از تکمیل مرحله 3 زیر به درستی با رایانه شما کار می کنند، اما در حالی که در حال آماده سازی دیسک های بازیابی جدید هستید، دیسک های قدیمی شما همچنان کار می کنند، فقط در صورت امکان. (ما در اینجا دستورالعمل های گام به گام ارائه نمی کنیم زیرا انواع مختلفی وجود دارد؛ مشورت کنید مرجع مایکروسافت بجای.)
• مرحله 3 به صورت دستی به رایانه خود بگویید که کد راه‌اندازی باگ را لغو کند. این مرحله یک شناسه رمزنگاری (یک هش فایل) را به لیست بلوک سیستم عامل مادربرد شما اضافه می کند تا از استفاده از کد بوت آپ قدیمی و باگ در آینده جلوگیری کند، بنابراین از سوء استفاده مجدد CVE-2023-24932 جلوگیری می کند. با به تأخیر انداختن این مرحله تا بعد از مرحله 2، از خطر گیر افتادن با رایانه ای که بوت نمی شود و بنابراین دیگر نمی توان برای تکمیل مرحله 2 از آن استفاده کرد، جلوگیری کرد.

همانطور که می بینید، اگر مراحل 1 و 3 را بلافاصله با هم انجام دهید، اما مرحله 2 را به بعد رها کنید و مشکلی پیش می آید…

... هیچ یک از تصاویر بازیابی موجود شما دیگر کار نمی کند زیرا حاوی کد راه اندازی هستند که قبلاً توسط رایانه کاملاً به روز شده شما رد شده و ممنوع شده است.

اگر قیاس‌ها را دوست دارید، ذخیره مرحله 3 تا آخرین مرحله به جلوگیری از قفل کردن کلیدهایتان در داخل ماشین کمک می‌کند.

اگر خود را قفل کنید، قالب‌بندی مجدد هارد دیسک محلی شما کمکی نمی‌کند، زیرا مرحله 3 هش‌های رمزنگاری کد راه‌اندازی لغو شده را از فضای ذخیره‌سازی موقت روی هارد دیسک به لیست «دیگر اعتماد نکن» که در حافظه امن قفل شده است، منتقل می‌کند. خود مادربرد

به عبارت رسمی قابل درک تر و تکراری مایکروسافت:

احتیاط

هنگامی که تخفیف برای این مشکل در دستگاهی فعال شد، به این معنی که لغو اعمال شده است، اگر همچنان به استفاده از Secure Boot در آن دستگاه ادامه دهید، نمی توان آن را برگرداند. حتی فرمت مجدد دیسک، ابطال‌ها را حذف نمی‌کند، اگر قبلاً اعمال شده باشند.

به شما هشدار داده شده است!

اگر شما یا تیم IT شما نگران هستید

مایکروسافت یک برنامه زمانی سه مرحله ای برای این به روز رسانی خاص ارائه کرده است:

• 2023-05-09 (اکنون). فرآیند دستی کامل اما دست و پا چلفتی که در بالا توضیح داده شد می تواند برای تکمیل پچ امروز استفاده شود. اگر نگران هستید، می‌توانید به سادگی وصله را نصب کنید (مرحله 1 در بالا) اما در حال حاضر هیچ کار دیگری انجام ندهید، که باعث می‌شود رایانه شما کد راه‌اندازی جدید را اجرا کند و بنابراین آماده پذیرش لغو توضیح داده شده در بالا است، اما همچنان می‌تواند با دستگاه شما بوت شود. دیسک های بازیابی موجود (البته توجه داشته باشید که با این کار همچنان قابل استفاده است، زیرا کد بوت آپ قدیمی هنوز قابل بارگیری است.)
• 2023-07-11 (دو ماه زمان). ابزارهای استقرار خودکار ایمن تر وعده داده شده است. احتمالاً، تمام بارگیری‌های رسمی نصب مایکروسافت تا آن زمان وصله خواهند شد، بنابراین حتی اگر مشکلی پیش بیاید، یک راه رسمی برای دریافت یک تصویر بازیابی قابل اعتماد خواهید داشت. در این مرحله، ما فرض می‌کنیم که می‌توانید وصله‌ای را با خیال راحت و آسان، بدون مشاجره در خطوط فرمان یا هک کردن رجیستری با دست، تکمیل کنید.
• اوایل سال 2024 (سال آینده). سیستم‌های وصله‌نشده به‌اجبار به‌روزرسانی می‌شوند، از جمله اعمال خودکار ابطال‌های رمزنگاری که مانع از کار کردن رسانه‌های بازیابی قدیمی بر روی رایانه شما می‌شود، بنابراین امیدواریم سوراخ CVE-2023-24932 برای همه برای همیشه بسته شود.

به هر حال، اگر رایانه شما Secure Boot را روشن نکرده باشد، می توانید به سادگی منتظر بمانید تا فرآیند سه مرحله ای بالا به طور خودکار تکمیل شود.

از این گذشته، بدون راه‌اندازی ایمن، هر کسی که به رایانه شما دسترسی داشته باشد، می‌تواند کد راه‌اندازی را هک کند، زیرا هیچ حفاظت رمزنگاری فعالی برای قفل کردن فرآیند راه‌اندازی وجود ندارد.

---

آیا بوت ایمن روشن شده است؟

با اجرای دستور می توانید متوجه شوید که آیا کامپیوتر شما Secure Boot روشن است یا خیر MSINFO32:

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/