बूटकिट जीरो-डे फिक्स - क्या यह माइक्रोसॉफ्ट का अब तक का सबसे सतर्क पैच है?

माइक्रोसॉफ्ट के मई 2023 पैच मंगलवार अपडेट में बिल्कुल वैसा ही मिश्रण शामिल है जिसकी आपने शायद अपेक्षा की थी।

यदि आप संख्याओं पर जाएं, तो हैं 38 भेद्यता, जिनमें से सात को महत्वपूर्ण माना जाता है: छह विंडोज़ में ही, और एक SharePoint में।

जाहिरा तौर पर, 38 छेदों में से तीन शून्य-दिन वाले हैं, क्योंकि वे पहले से ही सार्वजनिक रूप से ज्ञात हैं, और उनमें से कम से कम एक का साइबर अपराधियों द्वारा पहले से ही सक्रिय रूप से शोषण किया जा चुका है।

दुर्भाग्य से, उन अपराधियों में कुख्यात ब्लैक लोटस रैंसमवेयर गिरोह शामिल लगता है, इसलिए पैच वितरित होते देखना अच्छा है यह जंगली सुरक्षा छेद, डब किया हुआ सीवीई-2023-24932: सुरक्षित बूट सुरक्षा सुविधा बाईपास भेद्यता।

हालाँकि, यदि आप पूर्ण पैच मंगलवार डाउनलोड करते हैं और अपडेट को पूरा होने देते हैं तो आपको पैच मिल जाएगा...

...यह स्वचालित रूप से लागू नहीं होगा.

आवश्यक सुरक्षा सुधारों को सक्रिय करने के लिए, आपको इसे पढ़ने और आत्मसात करने की आवश्यकता होगी 500 शब्दों की पोस्ट हकदार CVE-2023-24932 से जुड़े सिक्योर बूट मैनेजर परिवर्तनों से संबंधित मार्गदर्शन.

फिर, आपको एक के माध्यम से काम करने की आवश्यकता होगी अनुदेशात्मक संदर्भ जो लगभग 3000 शब्दों तक का है।

उसी को कहा जाता है KB5025885: CVE-2023-24932 से जुड़े सुरक्षित बूट परिवर्तनों के लिए विंडोज बूट मैनेजर निरस्तीकरण को कैसे प्रबंधित करें.

निरस्तीकरण से परेशानी

यदि आपने हमारे हालिया कवरेज का अनुसरण किया है एमएसआई डेटा उल्लंघन, आपको पता चल जाएगा कि इसमें फ़र्मवेयर सुरक्षा से संबंधित क्रिप्टोग्राफ़िक कुंजियाँ शामिल हैं जिन्हें कथित तौर पर मनी मैसेज नाम के साइबरएक्सटॉर्शनिस्टों के एक अलग गिरोह द्वारा मदरबोर्ड की दिग्गज कंपनी एमएसआई से चुराया गया था।

आपको यह भी पता होगा कि एमएसआई घटना के बारे में हमारे द्वारा लिखे गए लेखों पर टिप्पणीकारों ने पूछा है, "एमएसआई चोरी की गई चाबियों को तुरंत रद्द क्यों नहीं करता, उनका उपयोग बंद क्यों नहीं करता, और फिर नई चाबियों के साथ हस्ताक्षरित नए फर्मवेयर को बाहर क्यों नहीं निकाल देता?"

जैसा कि हमने उस कहानी के संदर्भ में बताया है, संभावित दुष्ट फ़र्मवेयर कोड को ब्लॉक करने के लिए समझौता किए गए फ़र्मवेयर कुंजियों को अस्वीकार करना बहुत आसानी से "अनपेक्षित परिणामों के कानून" के रूप में जाना जाने वाला एक बुरा मामला भड़का सकता है।

उदाहरण के लिए, आप यह तय कर सकते हैं कि पहला और सबसे महत्वपूर्ण कदम मुझे यह बताना है कि कुंजी XYZ द्वारा हस्ताक्षरित किसी भी चीज़ पर अब और भरोसा न करें, क्योंकि यही वह है जिससे समझौता किया गया है।

आख़िरकार, चुराई गई चाबी को वापस लेना बदमाशों के लिए उसे बेकार करने का सबसे तेज़ और निश्चित तरीका है, और यदि आप पर्याप्त तेज़ हैं, तो आप ताला भी बदलवा सकते हैं, इससे पहले कि उन्हें चाबी आज़माने का मौका मिले।

लेकिन आप देख सकते हैं कि यह कहां जा रहा है।

यदि मेरा कंप्यूटर नई कुंजी और अद्यतन फ़र्मवेयर प्राप्त करने की तैयारी में चोरी हुई कुंजी को रद्द कर देता है, लेकिन मेरा कंप्यूटर गलत समय पर (दुर्घटनावश या अन्यथा) रीबूट हो जाता है...

...तो जो फ़र्मवेयर मुझे पहले ही मिल चुका है उस पर अब भरोसा नहीं किया जाएगा, और मैं बूट नहीं कर पाऊंगा - न हार्ड डिस्क बंद, न यूएसबी बंद, न नेटवर्क बंद, शायद बिल्कुल भी नहीं, क्योंकि मैं बूट नहीं कर पाऊंगा जहाँ तक फ़र्मवेयर कोड के उस बिंदु की बात है जहाँ मैं किसी बाहरी डिवाइस से कुछ भी लोड कर सकता हूँ।

भरपूर सावधानी

Microsoft के CVE-2023-24932 मामले में, समस्या उतनी गंभीर नहीं है, क्योंकि पूर्ण पैच मदरबोर्ड पर मौजूदा फर्मवेयर को अमान्य नहीं करता है।

पूर्ण पैच में आपकी हार्ड डिस्क के स्टार्टअप विभाजन में माइक्रोसॉफ्ट के बूटअप कोड को अपडेट करना और फिर आपके मदरबोर्ड को पुराने, असुरक्षित बूटअप कोड पर भरोसा न करने के लिए कहना शामिल है।

सिद्धांत रूप में, यदि कुछ गलत हो जाता है, तब भी आपको पहले से तैयार की गई पुनर्प्राप्ति डिस्क से प्रारंभ करके ऑपरेटिंग सिस्टम बूट विफलता से उबरने में सक्षम होना चाहिए।

सिवाय इसके कि उस समय आपके किसी भी मौजूदा पुनर्प्राप्ति डिस्क पर आपके कंप्यूटर द्वारा भरोसा नहीं किया जाएगा, यह मानते हुए कि उनमें बूट-टाइम घटक शामिल हैं जिन्हें अब निरस्त कर दिया गया है और इस प्रकार आपके कंप्यूटर द्वारा स्वीकार नहीं किया जाएगा।

फिर, यदि आप अपने संपूर्ण ऑपरेटिंग सिस्टम इंस्टालेशन को नहीं तो संभवतः अभी भी अपने डेटा को पुनर्प्राप्त कर सकते हैं, एक ऐसे कंप्यूटर का उपयोग करके जिसे नए बूटअप कोड के साथ एक पूरी तरह से अद्यतित पुनर्प्राप्ति छवि बनाने के लिए पूरी तरह से पैच किया गया है, यह मानते हुए कि आपके पास है ऐसा करने के लिए एक अतिरिक्त कंप्यूटर उपयोगी है।

या आप एक Microsoft इंस्टॉलेशन छवि डाउनलोड कर सकते हैं जो पहले से ही अपडेट की गई है, यह मानते हुए कि आपके पास डाउनलोड लाने का कोई तरीका है, और यह मानते हुए कि Microsoft के पास एक ताज़ा छवि उपलब्ध है जो आपके हार्डवेयर और ऑपरेटिंग सिस्टम से मेल खाती है।

(प्रयोग के तौर पर, हमने अभी नवीनतम [2023-05-09:23:55:00Z] प्राप्त किया है विंडोज़ 11 एंटरप्राइज़ मूल्यांकन 64-बिट आईएसओ छवि, जिसका उपयोग पुनर्प्राप्ति के साथ-साथ इंस्टॉलेशन के लिए भी किया जा सकता है, लेकिन इसे हाल ही में अपडेट नहीं किया गया है।)

और भले ही आपके या आपके आईटी विभाग के पास पूर्वव्यापी रूप से पुनर्प्राप्ति छवियां बनाने के लिए समय और अतिरिक्त उपकरण हों, फिर भी यह एक समय लेने वाली परेशानी होगी जिसे आप बिना कर सकते हैं, खासकर यदि आप घर से काम कर रहे हैं और दर्जनों काम कर रहे हैं आपकी कंपनी के अन्य लोगों को भी उसी समय परेशान किया गया है और उन्हें नया पुनर्प्राप्ति मीडिया भेजे जाने की आवश्यकता है।

डाउनलोड करें, तैयार करें, निरस्त करें

इसलिए, Microsoft ने इस पैच के लिए आवश्यक कच्चे माल को उन फ़ाइलों में बना दिया है जो आपको मई 2023 पैच मंगलवार अपडेट डाउनलोड करने पर मिलेंगी, लेकिन पैच को स्वचालित रूप से लागू करने के लिए आवश्यक सभी चरणों को सक्रिय करने के खिलाफ काफी जानबूझकर निर्णय लिया है।

इसके बजाय, Microsoft आपसे आग्रह करता है कि आपको इस तरह की तीन-चरणीय मैन्युअल प्रक्रिया का पालन करना होगा:

• कदम 1। अद्यतन प्राप्त करें ताकि आपकी आवश्यक सभी फ़ाइलें आपकी स्थानीय हार्ड डिस्क पर स्थापित हो जाएं। आपका कंप्यूटर नए बूटअप कोड का उपयोग करेगा, लेकिन कुछ समय के लिए पुराने, शोषण योग्य कोड को स्वीकार करेगा। महत्वपूर्ण बात यह है कि अपडेट का यह चरण स्वचालित रूप से आपके कंप्यूटर को पुराने बूटअप कोड को रद्द करने (यानी अब भरोसा नहीं करने) के लिए नहीं कहता है।
• कदम 2। अपने सभी बूट करने योग्य उपकरणों (पुनर्प्राप्ति छवियों) को मैन्युअल रूप से पैच करें ताकि उन पर नया बूटअप कोड हो। इसका मतलब यह है कि आपकी पुनर्प्राप्ति छवियां नीचे दिए गए चरण 3 को पूरा करने के बाद भी आपके कंप्यूटर के साथ सही ढंग से काम करेंगी, लेकिन जब आप नई पुनर्प्राप्ति डिस्क तैयार कर रहे हैं, तो आपकी पुरानी पुनर्प्राप्ति डिस्क अभी भी काम करेंगी, शायद किसी भी स्थिति में। (हम यहां चरण-दर-चरण निर्देश नहीं देंगे क्योंकि इसके कई अलग-अलग प्रकार हैं; परामर्श लें माइक्रोसॉफ्ट का संदर्भ बजाय।)
• कदम 3। अपने कंप्यूटर को बग्गी बूटअप कोड को रद्द करने के लिए मैन्युअल रूप से कहें। यह चरण पुराने, ख़राब बूटअप कोड को भविष्य में उपयोग होने से रोकने के लिए आपके मदरबोर्ड की फ़र्मवेयर ब्लॉकलिस्ट में एक क्रिप्टोग्राफ़िक पहचानकर्ता (एक फ़ाइल हैश) जोड़ता है, इस प्रकार CVE-2023-24932 को फिर से शोषण होने से रोकता है। इस चरण को चरण 2 के बाद तक विलंबित करके, आप ऐसे कंप्यूटर के साथ फंसने के जोखिम से बचते हैं जो बूट नहीं होगा और इसलिए चरण 2 को पूरा करने के लिए इसका उपयोग नहीं किया जा सकता है।

जैसा कि आप देख सकते हैं, यदि आप चरण 1 और 3 को तुरंत एक साथ पूरा करते हैं, लेकिन चरण 2 को बाद के लिए छोड़ देते हैं, और कुछ गलत हो जाता है...

...आपकी कोई भी मौजूदा पुनर्प्राप्ति छवि अब काम नहीं करेगी क्योंकि उनमें बूटअप कोड होगा जिसे आपके पहले से ही पूरी तरह से अपडेट किए गए कंप्यूटर द्वारा पहले ही अस्वीकार और प्रतिबंधित कर दिया गया है।

यदि आपको उपमाएँ पसंद हैं, तो चरण 3 को अंत तक सहेजने से आपको कार के अंदर अपनी चाबियाँ बंद करने से रोकने में मदद मिलती है।

यदि आप स्वयं को लॉक नहीं करते हैं तो आपकी स्थानीय हार्ड डिस्क को पुन: स्वरूपित करने से मदद नहीं मिलेगी, क्योंकि चरण 3 आपकी हार्ड डिस्क पर अस्थायी स्टोरेज से निरस्त बूटअप कोड के क्रिप्टोग्राफ़िक हैश को "फिर कभी भरोसा न करें" सूची में स्थानांतरित कर देता है जो सुरक्षित स्टोरेज में लॉक हो जाता है। मदरबोर्ड ही.

माइक्रोसॉफ्ट के स्पष्ट रूप से अधिक नाटकीय और दोहराव वाले आधिकारिक शब्दों में:

सावधानी

एक बार किसी डिवाइस पर इस समस्या का शमन सक्षम हो जाने पर, जिसका अर्थ है कि निरस्तीकरण लागू कर दिया गया है, यदि आप उस डिवाइस पर सिक्योर बूट का उपयोग जारी रखते हैं तो इसे वापस नहीं किया जा सकता है। यहां तक ​​कि डिस्क के पुन: स्वरूपण से भी निरस्तीकरण नहीं हटेगा यदि उन्हें पहले ही लागू किया जा चुका है।

आपको चेतावनी दी गई है!

यदि आप या आपकी आईटी टीम चिंतित है

Microsoft ने इस विशेष अद्यतन के लिए तीन-चरणीय शेड्यूल प्रदान किया है:

• 2023-05-09 (अभी)। ऊपर वर्णित पूर्ण-लेकिन-अनाड़ी मैनुअल प्रक्रिया का उपयोग आज पैच को पूरा करने के लिए किया जा सकता है। यदि आप चिंतित हैं, तो आप बस पैच स्थापित कर सकते हैं (चरण 1 ऊपर) लेकिन अभी कुछ और न करें, जिससे आपका कंप्यूटर नया बूटअप कोड चलाने लगेगा और इसलिए ऊपर वर्णित निरस्तीकरण को स्वीकार करने के लिए तैयार है, लेकिन फिर भी आपके साथ बूट करने में सक्षम होगा मौजूदा पुनर्प्राप्ति डिस्क. (ध्यान दें, निश्चित रूप से, यह इसे अभी भी शोषण योग्य बनाता है, क्योंकि पुराना बूटअप कोड अभी भी लोड किया जा सकता है।)
• 2023-07-11 (दो महीने का समय)। बाद में स्वचालित परिनियोजन टूल का वादा किया गया है। संभवतः, तब तक सभी आधिकारिक Microsoft इंस्टॉलेशन डाउनलोड को पैच कर दिया जाएगा, इसलिए यदि कुछ गलत होता है तो भी आपके पास एक विश्वसनीय पुनर्प्राप्ति छवि लाने का आधिकारिक तरीका होगा। इस बिंदु पर, हम मानते हैं कि आप कमांड लाइनों को परेशान किए बिना या रजिस्ट्री को हाथ से हैक किए बिना, पैच को सुरक्षित और आसानी से पूरा करने में सक्षम होंगे।
• 2024 की शुरुआत में (अगले साल)। अनपैच किए गए सिस्टम को जबरन अपडेट किया जाएगा, जिसमें क्रिप्टोग्राफ़िक निरस्तीकरण को स्वचालित रूप से लागू करना शामिल है जो पुराने पुनर्प्राप्ति मीडिया को आपके कंप्यूटर पर काम करने से रोक देगा, इस प्रकार उम्मीद है कि CVE-2023-24932 छेद सभी के लिए स्थायी रूप से बंद हो जाएगा।

वैसे, यदि आपके कंप्यूटर में सिक्योर बूट चालू नहीं है, तो आप ऊपर दी गई तीन-चरणीय प्रक्रिया के स्वचालित रूप से पूरा होने की प्रतीक्षा कर सकते हैं।

आख़िरकार, सुरक्षित बूट के बिना, आपके कंप्यूटर तक पहुंच रखने वाला कोई भी व्यक्ति बूटअप कोड को हैक कर सकता है, यह देखते हुए कि स्टार्टअप प्रक्रिया को लॉक करने के लिए कोई सक्रिय क्रिप्टोग्राफ़िक सुरक्षा नहीं है।

---

क्या मैंने सुरक्षित बूट चालू कर दिया है?

आप कमांड चलाकर पता लगा सकते हैं कि आपके कंप्यूटर में सिक्योर बूट चालू है या नहीं MSINFO32:

---

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
• PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
• स्रोत: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/