Bootkit nollapäivän korjaus – onko tämä Microsoftin kaikkien aikojen varovaisin korjaustiedosto?

Bootkit nollapäivän korjaus – onko tämä Microsoftin kaikkien aikojen varovaisin korjaustiedosto?

Aikaleima: 10. toukokuuta 2023 klo 7
Lähdesolmu: 2641175
by Paul Ducklin

Microsoftin toukokuun 2023 korjaustiistain päivitykset sisältävät juuri sellaisen seoksen, jota luultavasti odotit.

Jos mennään numeroiden perusteella, niitä on 38 haavoittuvuutta, joista seitsemää pidetään kriittisenä: kuusi Windowsissa ja yksi SharePointissa.

Ilmeisesti kolme 38 reiästä ovat nollapäiviä, koska ne ovat jo julkisesti tiedossa, ja ainakin yhtä niistä on jo kyberrikolliset käyttäneet aktiivisesti hyväkseen.

Valitettavasti näiden rikollisten joukossa näyttää olevan pahamaineinen Black Lotus ransomware -jengi, joten on hyvä nähdä korjaustiedosto toimitettuna tämä luonnonvarainen turva-aukko, dubattuna CVE-2023-24932: Secure Boot Security Feature Bypass -haavoittuvuus.

Vaikka saat korjaustiedoston, jos lataat täyden korjaustiedoston tiistaina ja annat päivityksen valmistua…

… sitä ei oteta käyttöön automaattisesti.

Jotta voit aktivoida tarvittavat suojauskorjaukset, sinun on luettava ja omaksuttava a 500 sanan viesti oikeus CVE-2023-24932:een liittyviin Secure Boot Managerin muutoksiin liittyviä ohjeita.

Sitten sinun on työstettävä läpi ohjeteksti joka kestää lähes 3000 sanaa.

Sitä kutsutaan KB5025885: Windows Boot Managerin peruutuksia CVE-2023-24932 liittyville Secure Boot -muutoksille.

Peruuttamisen ongelma

Jos olet seurannut viimeaikaista uutisointiamme MSI-tietomurto, tiedät, että se sisältää laiteohjelmiston tietoturvaan liittyviä salausavaimia, joiden väitetään varastavan emolevyn jättiläiseltä MSI:ltä eri kyberkiristäjien jengien toimesta Money Message -kadun nimellä.

Tiedät myös, että MSI-tapahtumasta kirjoittamiemme artikkeleiden kommentoijat ovat kysyneet, "Miksi MSI ei välittömästi peruuta varastettuja avaimia, lopeta niiden käyttöä ja sitten työnnä ulos uutta laiteohjelmistoa, joka on allekirjoitettu uusilla avaimilla?"

Kuten olemme selittäneet tuon tarinan yhteydessä, vaarantuneiden laiteohjelmistoavaimien kieltäminen mahdollisen vääränlaisen laiteohjelmistokoodin estämiseksi voi hyvin helposti saada aikaan huonon tapauksen, joka tunnetaan nimellä "toivottujen seurausten laki".

Saatat esimerkiksi päättää, että ensimmäinen ja tärkein askel on kertoa minulle, etten enää luota mihinkään, joka on allekirjoitettu avaimella XYZ, koska se on vaarantunut.

Onhan varastetun avaimen peruuttaminen nopein ja varmin tapa tehdä siitä turha roistoille, ja jos olet tarpeeksi nopea, saatat jopa saada lukon vaihtoon ennen kuin he pääsevät kokeilemaan avainta.

Mutta saa nähdä mihin tämä johtaa.

Jos tietokoneeni peruuttaa varastetun avaimen valmistautuessaan vastaanottamaan uuden avaimen ja päivitetyn laiteohjelmiston, mutta tietokoneeni käynnistyy uudelleen (vahingossa tai muuten) väärällä hetkellä…

…niin jo hankkimaani laiteohjelmistoon ei enää luoteta, enkä voi käynnistyä – ei kiintolevyltä, en USB:ltä, en verkosta, luultavasti ei ollenkaan, koska en saa niin pitkälle kuin laiteohjelmistokoodissa, jossa voin ladata mitä tahansa ulkoisesta laitteesta.

Runsaasti varovaisuutta

Microsoftin CVE-2023-24932 tapauksessa ongelma ei ole aivan niin vakava, koska täydellinen korjaustiedosto ei mitätöi itse emolevyn olemassa olevaa laiteohjelmistoa.

Täysi korjaustiedosto sisältää Microsoftin käynnistyskoodin päivittämisen kiintolevyn käynnistysosiossa ja sen jälkeen emolevyn kertomisen, ettei se enää luota vanhaan, turvattomaan käynnistyskoodiin.

Teoriassa, jos jokin menee pieleen, sinun pitäisi silti pystyä palautumaan käyttöjärjestelmän käynnistysvirheestä yksinkertaisesti käynnistämällä se aiemmin valmistelemaltasi palautuslevyltä.

Paitsi että tietokoneesi ei luota mihinkään olemassa olevista palautuslevykkeistäsi siinä vaiheessa olettaen, että ne sisältävät käynnistysaikakomponentteja, jotka on nyt kumottu ja joita tietokone ei siten hyväksy.

Jälleen, voit silti luultavasti palauttaa tietosi, ellei koko käyttöjärjestelmän asennusta, käyttämällä tietokonetta, joka on täysin korjattu luomaan täysin ajan tasalla oleva palautusnäköistiedosto, jossa on uusi käynnistyskoodi, jos olet varatietokone kätevästi tätä varten.

Tai voit ladata Microsoftin asennuskuvan, joka on jo päivitetty, olettaen, että sinulla on jokin tapa noutaa ladattava tiedosto, ja olettaen, että Microsoftilla on saatavilla uusi laitteistosi ja käyttöjärjestelmäsi mukainen kuva.

(Kokeiluna haimme juuri [2023-05-09:23:55:00Z] uusimman Windows 11 Enterprise Evaluation 64-bittinen ISO-kuva, jota voidaan käyttää sekä palautukseen että asennukseen, mutta sitä ei ole päivitetty äskettäin.)

Ja vaikka sinulla tai IT-osastollasi olisi aikaa ja ylimääräisiä laitteita palautuskuvien luomiseen takautuvasti, se on silti aikaa vievä vaiva, jota kaikki pärjäisit ilman, varsinkin jos työskentelet kotoa käsin ja kymmeniä muita yrityksesi ihmisiä on häiritty samaan aikaan, ja heille on lähetettävä uusi palautustietoväline.

Lataa, valmistele, peruuta

Joten Microsoft on rakentanut tähän korjaustiedostoon tarvitsemasi raaka-aineet tiedostoihin, jotka saat, kun lataat toukokuun 2023 korjauspäivitystiistain päivityksen, mutta on varsin tietoisesti päättänyt olla aktivoimatta kaikkia korjaustiedoston automaattiseen asentamiseen tarvittavia vaiheita.

Sen sijaan Microsoft kehottaa sinua noudattamaan kolmivaiheista manuaalista prosessia, kuten tämä:

  • VAIHE 1. Hae päivitys, jotta kaikki tarvitsemasi tiedostot on asennettu paikalliselle kiintolevylle. Tietokoneesi käyttää uutta käynnistyskoodia, mutta hyväksyy silti vanhan, hyödynnettävän koodin toistaiseksi. Tärkeää on, että tämä päivityksen vaihe ei vielä automaattisesti kehota tietokonettasi peruuttamaan vanhaa käynnistyskoodia (eli ei enää luota).
  • VAIHE 2. Korjaa kaikki käynnistyslaitteet (palautuskuvat) manuaalisesti, jotta niissä on uusi käynnistyskoodi. Tämä tarkoittaa, että palautuskuvasi toimivat oikein tietokoneesi kanssa, vaikka olet suorittanut alla olevan vaiheen 3, mutta samalla kun valmistelet uusia palautuslevykkeitä, vanhat levyt toimivat edelleen varmuuden vuoksi. (Emme anna tässä vaiheittaisia ​​ohjeita, koska vaihtoehtoja on monia; ota yhteyttä Microsoftin viittaus sen sijaan.)
  • VAIHE 3. Käske tietokoneellesi manuaalisesti peruuttaa buginen käynnistyskoodi. Tämä vaihe lisää kryptografisen tunnisteen (tiedoston tiivisteen) emolevyn laiteohjelmiston estoluetteloon estääkseen vanhan, bugisen käynnistyskoodin käytön tulevaisuudessa, mikä estää CVE-2023-24932:n uudelleen hyödyntämisen. Viivyttämällä tätä vaihetta vaiheen 2 jälkeen vältyt riskiltä juuttua tietokoneeseen, joka ei käynnisty ja jota ei siksi voi enää käyttää vaiheen 2 suorittamiseen.

Kuten näet, jos suoritat vaiheet 1 ja 3 yhdessä heti, mutta jätät vaiheen 2 myöhemmäksi, niin jokin menee pieleen…

…mikään olemassa olevista palautustiedostoistasi ei toimi enää, koska ne sisältävät käynnistyskoodin, jonka jo täysin päivitetty tietokoneesi on jo hylännyt ja kieltänyt.

Jos pidät analogioista, vaiheen 3 tallentaminen viimeiseen asti auttaa estämään avainten lukitsemisen auton sisälle.

Paikallisen kiintolevyn alustaminen uudelleen ei auta, jos lukitset itsesi ulos, koska vaihe 3 siirtää peruutetun käynnistyskoodin salaustiivisteet kiintolevyn väliaikaisesta tallennustilasta "älä koskaan luota enää" -luetteloon, joka on lukittu suojattuun tallennustilaan emolevy itse.

Microsoftin ymmärrettävästi dramaattisemmilla ja toistuvilla virallisilla sanoilla:

VAROITUS

Kun tämän ongelman lievennys on otettu käyttöön laitteessa, mikä tarkoittaa, että peruutukset on tehty, sitä ei voi peruuttaa, jos jatkat suojatun käynnistyksen käyttöä kyseisessä laitteessa. Edes levyn alustaminen uudelleen ei poista peruutuksia, jos ne on jo otettu käyttöön.

Sinua on varoitettu!

Jos sinä tai IT-tiimisi olette huolissanne

Microsoft on toimittanut kolmivaiheisen aikataulun tälle päivitykselle:

  • 2023-05-09 (nyt). Yllä kuvattua täydellistä mutta kömpelöä manuaalista prosessia voidaan käyttää korjaustiedoston viimeistelemiseen tänään. Jos olet huolissasi, voit yksinkertaisesti asentaa korjaustiedoston (vaihe 1 yllä), mutta ei tehdä mitään muuta juuri nyt, jolloin tietokoneesi saa uuden käynnistyskoodin ja on siksi valmis hyväksymään yllä kuvatun peruutuksen, mutta pystyy silti käynnistymään olemassa oleville palautuslevyille. (Huomaa tietysti, että tämä jättää sen edelleen hyödynnettäväksi, koska vanha käynnistyskoodi voidaan edelleen ladata.)
  • 2023-07-11 (kaksi kuukautta). Turvallisempia automaattisia käyttöönottotyökaluja luvataan. Oletettavasti kaikki viralliset Microsoftin asennuslataukset on korjattu siihen mennessä, joten vaikka jokin menisi pieleen, sinulla on virallinen tapa hakea luotettava palautuskuva. Tässä vaiheessa oletamme, että pystyt viimeistelemään korjaustiedoston turvallisesti ja helposti ilman komentorivien riitelemistä tai rekisterin hakkerointia käsin.
  • Vuoden 2024 alussa (ensi vuonna). Korjaamattomat järjestelmät päivitetään väkisin, mukaan lukien salauksen peruutukset, jotka estävät vanhoja palautusvälineitä toimimasta tietokoneellasi, mikä toivottavasti sulkee CVE-2023-24932-aukon pysyvästi kaikilta.

Muuten, jos tietokoneessasi ei ole suojattua käynnistystä päällä, voit odottaa, että yllä oleva kolmivaiheinen prosessi suoritetaan automaattisesti.

Loppujen lopuksi ilman suojattua käynnistystä kuka tahansa, jolla on pääsy tietokoneellesi, voisi joka tapauksessa hakkeroida käynnistyskoodin, koska ei ole aktiivista salaussuojausta käynnistysprosessin lukitsemiseksi.

ONKO MINULLA TURVALLINEN KÄYNNISTYS KÄYTÖSSÄ?

Voit selvittää, onko tietokoneessasi suojattu käynnistys päällä, suorittamalla komennon MSINFO32:

Aikaleima:

Lisää aiheesta Naked Security