Bootkit nulladik napi javítás – ez a Microsoft valaha volt legóvatosabb javítása?

Bootkit nulladik napi javítás – ez a Microsoft valaha volt legóvatosabb javítása?

Időbélyeg: 10. május 2023. 7:50
Forrás csomópont: 2641175
by Paul Ducklin

A Microsoft 2023. májusi javítási keddi frissítései pontosan olyan keveréket tartalmaznak, amelyre valószínűleg számított.

Ha számok szerint mész, vannak 38 sérülékenység, amelyből hét kritikusnak számít: hat magában a Windowsban és egy a SharePointban.

Úgy tűnik, a 38 lyukból három nulla nap, mert már nyilvánosan ismertek, és közülük legalább egyet már aktívan kihasználtak a kiberbűnözők.

Sajnos úgy tűnik, hogy ezek között a bűnözők között van a hírhedt Black Lotus ransomware banda, ezért jó látni, hogy egy javítást szállítanak ezt a vad biztonsági rést, szinkronizált CVE-2023-24932: Secure Boot Security Feature Bypass biztonsági rése.

Azonban, bár megkapja a javítást, ha végrehajtja a teljes javítási keddi letöltést, és hagyja, hogy a frissítés befejeződjön…

…nem kerül automatikusan alkalmazásra.

A szükséges biztonsági javítások aktiválásához el kell olvasnia és el kell fogadnia a 500 szavas bejegyzés Jogosult Útmutató a Secure Boot Manager CVE-2023-24932-hez kapcsolódó módosításaihoz.

Ezután át kell dolgoznia egy oktatási hivatkozás ez közel 3000 szóból áll.

Ezt hívják KB5025885: A Windows Boot Manager visszavonásának kezelése a CVE-2023-24932 kóddal társított biztonságos rendszerindítási módosításokhoz.

A baj a visszavonással

Ha követte legutóbbi tudósításunkat a MSI adattörés, tudni fogja, hogy a firmware-biztonság szempontjából releváns kriptográfiai kulcsokat foglal magában, amelyeket állítólag az alaplap-óriás MSI-től lopott el egy másik, Money Message utcanéven futó kiberzsaroló banda.

Azt is tudni fogja, hogy az MSI-incidensről írt cikkeink kommentelői megkérdezték: „Miért nem vonja vissza azonnal az MSI az ellopott kulcsokat, hagyja abba a használatát, majd küldjön ki új, új kulcsokkal aláírt firmware-t?”

Amint azt a történettel összefüggésben kifejtettük, a kompromittált firmware-kulcsok visszautasítása az esetleges szélhámos firmware-kódok blokkolása érdekében nagyon könnyen előidézheti a „nem szándékos következmények törvényeként” ismert rossz esetet.

Például dönthet úgy, hogy az első és legfontosabb lépés az, hogy megmondja nekem, hogy ne bízzak többé semmiben, amit az XYZ kulccsal írnak alá, mert ez az, amelyik feltört.

Hiszen az ellopott kulcs visszavonása a leggyorsabb és legbiztosabb módja annak, hogy használhatatlanná tegyük a szélhámosok számára, és ha elég gyors vagy, még a zárat is kicserélheted, mielőtt egyáltalán kipróbálnák a kulcsot.

De láthatod, hová megy ez.

Ha a számítógépem visszavonja az ellopott kulcsot, hogy felkészüljön egy friss kulcs és frissített firmware fogadására, de a számítógépem (véletlenül vagy más módon) rossz pillanatban újraindul…

…akkor a már meglévő firmware-ben már nem lesz megbízható, és nem fogok tudni elindulni – sem merevlemezről, sem USB-ről, sem hálózatról, valószínűleg egyáltalán nem, mert nem fogom tudni a firmware kódban addig a pontig, ahova külső eszközről bármit be tudtam tölteni.

Az óvatosság bősége

A Microsoft CVE-2023-24932 esetében a probléma nem annyira súlyos, mivel a teljes javítás nem érvényteleníti magán az alaplapon lévő firmware-t.

A teljes javítás magában foglalja a Microsoft rendszerindítási kódjának frissítését a merevlemez indítópartíciójában, majd azt mondja az alaplapnak, hogy ne bízzon többé a régi, nem biztonságos rendszerindító kódban.

Elméletileg, ha valami elromlik, akkor is képesnek kell lennie arra, hogy helyreálljon az operációs rendszer rendszerindítási hibája után, pusztán a korábban elkészített helyreállítási lemezről történő indítással.

Kivéve, hogy a számítógépe ekkor már a meglévő helyreállítási lemezek egyikében sem fog megbízni, feltételezve, hogy olyan rendszerindítási komponenseket tartalmaznak, amelyeket most visszavontak, és így a számítógép nem fogadja el őket.

Valószínűleg még mindig helyreállíthatja adatait, ha nem a teljes operációs rendszer telepítését, ha egy teljesen kijavított számítógépet használ, hogy létrehozzon egy teljesen naprakész helyreállítási lemezképet az új rendszerindítási kóddal, feltéve, hogy egy tartalék számítógép használható ehhez.

Vagy letölthet egy már frissített Microsoft telepítőképet, feltételezve, hogy van valamilyen mód a letöltés lekérésére, és feltételezve, hogy a Microsoftnak van egy friss, a hardverének és az operációs rendszerének megfelelő képfájlja.

(Kísérletképpen most letöltöttük [2023-05-09:23:55:00Z] a legújabb Windows 11 Enterprise Evaluation 64 bites ISO képfájl, amely a helyreállításhoz és a telepítéshez is használható, de nemrégiben nem frissítették.)

És még ha Önnek vagy informatikai részlegének van is ideje és tartalék eszköze a helyreállítási képek utólagos létrehozásához, ez még mindig időigényes probléma lesz, amelyet nélkülözhet, különösen, ha otthonról dolgozik, és több tucat a cégében lévő más személyeket ezzel egy időben megzavarták, és új helyreállítási adathordozót kell küldeni nekik.

Letöltés, előkészítés, visszavonás

Tehát a Microsoft beépítette a javításhoz szükséges nyersanyagokat a 2023. májusi Patch Tuesday frissítés letöltésekor kapott fájlba, de teljesen szándékosan döntött úgy, hogy nem aktiválja a javítás automatikus telepítéséhez szükséges összes lépést.

Ehelyett a Microsoft sürgeti, hogy kövessen egy háromlépéses manuális folyamatot, mint például:

  • 1. LÉPÉS. Töltse le a frissítést, hogy az összes szükséges fájl telepítve legyen a helyi merevlemezre. A számítógép az új rendszerindítási kódot fogja használni, de egyelőre még elfogadja a régi, kihasználható kódot. Fontos, hogy a frissítés ezen lépése még nem utasítja automatikusan a számítógépet, hogy vonja vissza a régi rendszerindító kódot (azaz ne bízzon meg többé).
  • 2. LÉPÉS. Manuálisan javítsa be az összes rendszerindító eszközét (helyreállítási képfájljait), hogy rajtuk legyen az új rendszerindító kód. Ez azt jelenti, hogy a helyreállítási lemezképek az alábbi 3. lépés végrehajtása után is megfelelően működnek a számítógépen, de amíg új helyreállítási lemezeket készít, a régiek továbbra is működni fognak, minden esetre. (Itt nem fogunk lépésről lépésre útmutatást adni, mert sokféle változat létezik; konzultáljon A Microsoft referenciája helyette.)
  • 3. LÉPÉS. Manuálisan mondja meg számítógépének, hogy vonja vissza a hibás rendszerindítási kódot. Ez a lépés egy kriptográfiai azonosítót (fájlkivonatot) ad hozzá az alaplap firmware-blokkolólistájához, hogy megakadályozza a régi, hibás rendszerindítási kód jövőbeni használatát, és így megakadályozza a CVE-2023-24932 újbóli kihasználását. Ha ezt a lépést a 2. lépés utánra halasztja, elkerülheti annak kockázatát, hogy elakadjon egy olyan számítógépnél, amely nem indul el, és ezért már nem használható a 2. lépés végrehajtására.

Mint látható, ha az 1. és 3. lépést azonnal együtt hajtja végre, de a 2. lépést későbbre hagyja, és valami elromlik…

…egyik meglévő helyreállítási lemezképe sem fog többé működni, mert olyan rendszerindító kódot tartalmaznak, amelyet a már teljesen frissített számítógépe már elutasított és letiltott.

Ha szereti az analógiákat, a 3. lépés utolsóig történő mentése segít megelőzni, hogy a kulcsokat az autóban zárja be.

A helyi merevlemez újraformázása nem segít, ha kizárja magát, mert a 3. lépés a visszavont rendszerindító kód kriptográfiai kivonatait a merevlemez ideiglenes tárolójából átviszi egy „soha többé nem bízik” listára, amely a merevlemez biztonságos tárhelyére van zárva. magát az alaplapot.

A Microsoft érthetően drámaibb és ismétlődő hivatalos szavaival élve:

VIGYÁZAT

Ha a probléma enyhítése engedélyezve van egy eszközön, vagyis a visszavonásokat alkalmazták, akkor azt nem lehet visszaállítani, ha továbbra is a Biztonságos rendszerindítást használja azon az eszközön. Még a lemez újraformázása sem távolítja el a visszavonásokat, ha azokat már alkalmazták.

Figyelmeztetve lettél!

Ha Ön vagy informatikai csapata aggódik

A Microsoft három szakaszból álló ütemezést adott ehhez a frissítéshez:

  • 2023-05-09 (most). A fent leírt, teljes, de ügyetlen kézi eljárással már ma befejezhető a javítás. Ha aggódik, egyszerűen telepítheti a javítást (fenti 1. lépés), de most nem tesz mást, így a számítógépe az új rendszerindítási kódot futtatja, így készen áll a fent leírt visszavonás elfogadására, de továbbra is képes a rendszerindításra. meglévő helyreállítási lemezek. (Persze vegye figyelembe, hogy így továbbra is kihasználható marad, mert a régi rendszerindító kód továbbra is betölthető.)
  • 2023-07-11 (két hónapig). Safter automatic deployment tools are promised. Presumably, all official Microsoft installation downloads will be patched by then, so even if something does go wrong you will have an official way to fetch a reliable recovery image. At this point, we assume you will be able to complete the patch safely and easily, without wrangling command lines or hacking the registry by hand.
  • 2024 elején (jövőre). A javítatlan rendszerek kényszerfrissítése megtörténik, beleértve a kriptográfiai visszavonások automatikus alkalmazását, amelyek megakadályozzák, hogy a régi helyreállítási adathordozók működjenek a számítógépen, így remélhetőleg mindenki számára véglegesen bezárják a CVE-2023-24932 lyukat.

Egyébként, ha számítógépén nincs bekapcsolva a Biztonságos rendszerindítás, akkor egyszerűen megvárhatja, amíg a fenti háromlépcsős folyamat automatikusan befejeződik.

Végül is a Secure Boot nélkül bárki, aki hozzáfér a számítógépéhez, úgyis feltörheti a rendszerindítási kódot, mivel nincs aktív kriptográfiai védelem az indítási folyamat lezárására.

BEKAPCSOLVA VAN A BIZTONSÁGOS BOOT?

A parancs futtatásával megtudhatja, hogy a számítógépen be van-e kapcsolva a Biztonságos rendszerindítás MSINFO32:

Időbélyeg:

Még több Meztelen biztonság