Bootkit zero-day fix – apakah patch Microsoft yang paling hati-hati ini pernah ada?

Bootkit zero-day fix – apakah patch Microsoft yang paling hati-hati ini pernah ada?

Stempel Waktu: 10 Mei 2023 7
Node Sumber: 2641175
by Paul Bebek

Pembaruan Patch Tuesday Mei 2023 dari Microsoft terdiri dari campuran yang mungkin Anda harapkan.

Jika Anda menggunakan angka, ada 38 kerentanan, tujuh di antaranya dianggap kritis: enam di Windows itu sendiri, dan satu di SharePoint.

Rupanya, tiga dari 38 lubang tersebut adalah zero-days, karena sudah diketahui publik, dan setidaknya satu di antaranya telah dieksploitasi secara aktif oleh penjahat dunia maya.

Sayangnya, para penjahat itu tampaknya termasuk geng ransomware Black Lotus yang terkenal kejam, jadi bagus untuk melihat tambalan dikirimkan lubang keamanan di alam liar ini, dijuluki CVE-2023-24932: Kerentanan Bypass Fitur Keamanan Boot Aman.

Namun, meskipun Anda akan mendapatkan tambalan jika Anda melakukan unduhan Patch Tuesday lengkap dan membiarkan pembaruan selesai…

…ini tidak akan diterapkan secara otomatis.

Untuk mengaktifkan perbaikan keamanan yang diperlukan, Anda harus membaca dan menyerap a Posting 500 kata berhak Panduan terkait perubahan Secure Boot Manager yang terkait dengan CVE-2023-24932.

Kemudian, Anda harus bekerja melalui referensi instruksional yang mencapai hampir 3000 kata.

Yang itu namanya KB5025885: Cara mengelola pencabutan Windows Boot Manager untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932.

Masalah dengan pencabutan

Jika Anda telah mengikuti liputan terbaru kami tentang Pelanggaran data MSI, Anda akan tahu bahwa ini melibatkan kunci kriptografis yang relevan dengan keamanan firmware yang diduga dicuri dari raksasa motherboard MSI oleh sekelompok pemeras dunia maya yang berbeda dengan nama jalan Money Message.

Anda juga akan tahu bahwa komentator di artikel yang kami tulis tentang insiden MSI telah bertanya, “Mengapa MSI tidak segera mencabut kunci yang dicuri, berhenti menggunakannya, lalu mengeluarkan firmware baru yang ditandatangani dengan kunci baru?”

Seperti yang telah kami jelaskan dalam konteks cerita tersebut, menolak kunci firmware yang disusupi untuk memblokir kemungkinan kode firmware jahat dapat dengan mudah memicu kasus buruk yang dikenal sebagai "hukum konsekuensi yang tidak diinginkan".

Misalnya, Anda mungkin memutuskan bahwa langkah pertama dan terpenting adalah memberi tahu saya untuk tidak lagi mempercayai apa pun yang ditandatangani oleh kunci XYZ, karena itulah yang telah disusupi.

Lagi pula, mencabut kunci yang dicuri adalah cara tercepat dan paling pasti untuk membuatnya tidak berguna bagi penjahat, dan jika Anda cukup cepat, Anda bahkan dapat mengganti kunci sebelum mereka memiliki kesempatan untuk mencoba kunci sama sekali.

Tapi Anda bisa melihat ke mana arahnya.

Jika komputer saya mencabut kunci yang dicuri sebagai persiapan untuk menerima kunci baru dan memperbarui firmware, tetapi komputer saya melakukan boot ulang (secara tidak sengaja atau tidak) pada saat yang salah…

…maka firmware yang sudah saya miliki tidak akan dipercaya lagi, dan saya tidak akan bisa boot – tidak dari hard disk, tidak dari USB, tidak dari jaringan, mungkin tidak sama sekali, karena saya tidak akan mendapatkan sejauh titik dalam kode firmware di mana saya dapat memuat apa pun dari perangkat eksternal.

Banyak kehati-hatian

Dalam kasus CVE-2023-24932 Microsoft, masalahnya tidak separah itu, karena tambalan lengkap tidak membatalkan firmware yang ada di motherboard itu sendiri.

Tambalan lengkap melibatkan pembaruan kode boot Microsoft di partisi startup hard disk Anda, dan kemudian memberi tahu motherboard Anda untuk tidak lagi mempercayai kode boot yang lama dan tidak aman.

Secara teori, jika terjadi kesalahan, Anda masih dapat memulihkan dari kegagalan boot sistem operasi hanya dengan memulai dari disk pemulihan yang Anda siapkan sebelumnya.

Kecuali bahwa tidak ada disk pemulihan Anda yang ada yang akan dipercaya oleh komputer Anda pada saat itu, dengan asumsi bahwa disk tersebut menyertakan komponen waktu boot yang sekarang telah dicabut dan karenanya tidak akan diterima oleh komputer Anda.

Sekali lagi, Anda mungkin masih dapat memulihkan data Anda, jika bukan seluruh penginstalan sistem operasi Anda, dengan menggunakan komputer yang telah ditambal sepenuhnya untuk membuat citra pemulihan terbaru dengan kode bootup baru di dalamnya, dengan asumsi Anda memiliki komputer cadangan berguna untuk melakukan itu.

Atau Anda dapat mengunduh citra penginstalan Microsoft yang telah diperbarui, dengan asumsi Anda memiliki beberapa cara untuk mengambil unduhan, dan dengan asumsi bahwa Microsoft memiliki citra baru yang tersedia yang sesuai dengan perangkat keras dan sistem operasi Anda.

(Sebagai percobaan, kami baru saja mengambil [2023-05-09:23:55:00Z] terbaru Evaluasi Windows 11 Enterprise 64-bit Citra ISO, yang dapat digunakan untuk pemulihan serta penginstalan, tetapi belum diperbarui baru-baru ini.)

Dan bahkan jika Anda atau departemen TI Anda memiliki waktu dan peralatan cadangan untuk membuat gambar pemulihan secara retrospektif, itu masih akan menjadi kerumitan yang memakan waktu yang tidak dapat Anda lakukan, terutama jika Anda bekerja dari rumah dan lusinan orang lain di perusahaan Anda telah dihalangi pada saat yang sama dan perlu dikirimi media pemulihan baru.

Unduh, siapkan, cabut

Jadi, Microsoft telah membuat bahan mentah yang Anda perlukan untuk tambalan ini ke dalam file yang akan Anda dapatkan saat mengunduh pembaruan Patch Selasa Mei 2023, tetapi dengan sengaja memutuskan untuk tidak mengaktifkan semua langkah yang diperlukan untuk menerapkan tambalan secara otomatis.

Sebagai gantinya, Microsoft mendesak Anda untuk mengikuti proses manual tiga langkah seperti ini:

  • LANGKAH 1. Ambil pembaruan sehingga semua file yang Anda perlukan terinstal di hard disk lokal Anda. Komputer Anda akan menggunakan kode bootup baru, tetapi masih akan menerima kode lama yang dapat dieksploitasi untuk saat ini. Yang penting, langkah pembaruan ini tidak secara otomatis memerintahkan komputer Anda untuk mencabut (yaitu tidak lagi mempercayai) kode bootup lama.
  • LANGKAH 2. Tambal secara manual semua perangkat Anda yang dapat di-boot (gambar pemulihan) sehingga mereka memiliki kode boot baru. Ini berarti citra pemulihan Anda akan bekerja dengan benar dengan komputer Anda bahkan setelah Anda menyelesaikan langkah 3 di bawah ini, namun saat Anda menyiapkan disk pemulihan baru, disk lama Anda akan tetap berfungsi, untuk berjaga-jaga. (Kami tidak akan memberikan petunjuk langkah demi langkah di sini karena ada banyak varian yang berbeda; konsultasikan referensi Microsoft sebagai gantinya.)
  • LANGKAH 3. Beri tahu komputer Anda secara manual untuk mencabut kode boot buggy. Langkah ini menambahkan pengidentifikasi kriptografi (hash file) ke daftar blokir firmware motherboard Anda untuk mencegah kode booting lama yang bermasalah digunakan di masa mendatang, sehingga mencegah CVE-2023-24932 dieksploitasi lagi. Dengan menunda langkah ini hingga setelah langkah 2, Anda menghindari risiko macet dengan komputer yang tidak bisa boot dan oleh karena itu tidak dapat lagi digunakan untuk menyelesaikan langkah 2.

Seperti yang Anda lihat, jika Anda langsung melakukan langkah 1 dan 3 bersamaan, tetapi meninggalkan langkah 2 hingga nanti, dan terjadi kesalahan…

…tak satu pun citra pemulihan Anda yang ada akan berfungsi lagi karena berisi kode bootup yang sudah tidak diakui dan dilarang oleh komputer Anda yang sudah diperbarui sepenuhnya.

Jika Anda menyukai analogi, menyimpan langkah 3 hingga yang terakhir membantu mencegah Anda mengunci kunci di dalam mobil.

Memformat ulang hard disk lokal Anda tidak akan membantu jika Anda mengunci diri Anda sendiri, karena langkah 3 mentransfer hash kriptografis dari kode boot yang dicabut dari penyimpanan sementara di hard disk Anda ke dalam daftar “jangan pernah percaya lagi” yang dikunci ke dalam penyimpanan aman di motherboard itu sendiri.

Dapat dimengerti dalam kata-kata resmi Microsoft yang lebih dramatis dan berulang:

PERHATIAN

Setelah mitigasi untuk masalah ini diaktifkan pada perangkat, berarti pencabutan telah diterapkan, tidak dapat dikembalikan jika Anda terus menggunakan Boot Aman pada perangkat tersebut. Bahkan memformat ulang disk tidak akan menghapus pencabutan jika sudah diterapkan.

Anda telah diperingatkan!

Jika Anda atau tim TI Anda khawatir

Microsoft telah menyediakan jadwal tiga tahap untuk pembaruan khusus ini:

  • 2023-05-09 (sekarang). Proses manual penuh tapi kikuk yang dijelaskan di atas dapat digunakan untuk menyelesaikan tambalan hari ini. Jika Anda khawatir, Anda cukup menginstal tambalan (langkah 1 di atas) tetapi tidak melakukan apa-apa sekarang, yang membuat komputer Anda menjalankan kode boot baru dan oleh karena itu siap menerima pencabutan yang dijelaskan di atas, tetapi masih dapat boot dengan komputer Anda. disk pemulihan yang ada. (Perhatikan, tentu saja, ini membuatnya masih dapat dieksploitasi, karena kode bootup lama masih dapat dimuat.)
  • 2023-07-11 (waktu dua bulan). Alat penerapan otomatis yang lebih aman dijanjikan. Agaknya, semua unduhan instalasi resmi Microsoft akan ditambal saat itu, jadi meskipun terjadi kesalahan, Anda akan memiliki cara resmi untuk mengambil gambar pemulihan yang andal. Pada titik ini, kami menganggap Anda akan dapat menyelesaikan tambalan dengan aman dan mudah, tanpa mempermasalahkan baris perintah atau meretas registri dengan tangan.
  • Awal tahun 2024 (tahun depan). Sistem yang belum ditambal akan diperbarui secara paksa, termasuk secara otomatis menerapkan pencabutan kriptografi yang akan mencegah media pemulihan lama bekerja di komputer Anda, dengan demikian diharapkan menutup lubang CVE-2023-24932 secara permanen untuk semua orang.

Omong-omong, jika komputer Anda belum mengaktifkan Secure Boot, maka Anda cukup menunggu proses tiga tahap di atas selesai secara otomatis.

Lagi pula, tanpa Boot Aman, siapa pun yang memiliki akses ke komputer Anda tetap dapat meretas kode boot, mengingat tidak ada perlindungan kriptografi aktif untuk mengunci proses startup.

APAKAH SAYA TELAH MENGHIDUPKAN BOOT AMAN?

Anda dapat mengetahui apakah komputer Anda telah mengaktifkan Boot Aman dengan menjalankan perintah MSINFO32:

Stempel Waktu:

Lebih dari Keamanan Telanjang