Correzione zero-day di Bootkit: questa è la patch Microsoft più cauta di sempre?

Correzione zero-day di Bootkit: questa è la patch Microsoft più cauta di sempre?

Timestamp: 10 maggio 2023 7:50
Nodo di origine: 2641175
by Paul Ducklin

Gli aggiornamenti del Patch Tuesday di maggio 2023 di Microsoft comprendono proprio il tipo di miscela che probabilmente ti aspettavi.

Se vai per numeri, ci sono 38 vulnerabilità, di cui sette sono considerati critici: sei in Windows stesso e uno in SharePoint.

A quanto pare, tre delle 38 buche sono zero-day, perché sono già note pubblicamente e almeno una di esse è già stata attivamente sfruttata dai cybercriminali.

Sfortunatamente, quei criminali sembrano includere la famigerata banda di ransomware Black Lotus, quindi è bello vedere una patch consegnata per questo buco di sicurezza in-the-wild, soprannominato CVE-2023-24932: Vulnerabilità di bypass della funzionalità di protezione dell'avvio protetto.

Tuttavia, anche se otterrai la patch se esegui un download completo di Patch Tuesday e lasci completare l'aggiornamento...

…non verrà applicato automaticamente.

Per attivare le correzioni di sicurezza necessarie, dovrai leggere e assimilare a Post di 500 parole dal titolo Linee guida relative alle modifiche di Secure Boot Manager associate a CVE-2023-24932.

Quindi, dovrai elaborare un file riferimento didattico che arriva a quasi 3000 parole.

Quello si chiama KB5025885: come gestire le revoche di Windows Boot Manager per le modifiche all'avvio protetto associate a CVE-2023-24932.

Il problema della revoca

Se hai seguito la nostra recente copertura del Violazione dei dati MSI, saprai che si tratta di chiavi crittografiche rilevanti per la sicurezza del firmware che sarebbero state rubate dal gigante della scheda madre MSI da un'altra banda di cyberestorsionisti che si chiamava Money Message.

Saprai anche che i commentatori degli articoli che abbiamo scritto sull'incidente del MSI hanno chiesto, "Perché MSI non revoca immediatamente le chiavi rubate, smette di usarle e quindi invia nuovo firmware firmato con nuove chiavi?"

Come abbiamo spiegato nel contesto di quella storia, il disconoscimento di chiavi firmware compromesse per bloccare possibili codici firmware non autorizzati può facilmente provocare un brutto caso di quella che è nota come "legge delle conseguenze indesiderate".

Ad esempio, potresti decidere che il primo e più importante passo è dirmi di non fidarmi più di nulla che sia firmato dalla chiave XYZ, perché è quello che è stato compromesso.

Dopotutto, revocare la chiave rubata è il modo più rapido e sicuro per renderla inutile ai truffatori e, se sei abbastanza veloce, potresti persino far cambiare il lucchetto prima che abbiano la possibilità di provare la chiave.

Ma puoi vedere dove sta andando.

Se il mio computer revoca la chiave rubata in preparazione per ricevere una nuova chiave e un firmware aggiornato, ma il mio computer si riavvia (accidentalmente o meno) nel momento sbagliato...

...allora il firmware che ho già non sarà più attendibile e non sarò in grado di eseguire l'avvio, né dal disco rigido, né dall'USB, né dalla rete, probabilmente per niente, perché non otterrò fino al punto nel codice del firmware in cui potevo caricare qualsiasi cosa da un dispositivo esterno.

Un'abbondanza di cautela

Nel caso CVE-2023-24932 di Microsoft, il problema non è così grave, perché la patch completa non invalida il firmware esistente sulla scheda madre stessa.

La patch completa prevede l'aggiornamento del codice di avvio di Microsoft nella partizione di avvio del disco rigido e quindi l'indicazione alla scheda madre di non fidarsi più del vecchio codice di avvio non sicuro.

In teoria, se qualcosa va storto, dovresti comunque essere in grado di recuperare da un errore di avvio del sistema operativo semplicemente avviando da un disco di ripristino che hai preparato in precedenza.

Tranne che nessuno dei tuoi dischi di ripristino esistenti sarà considerato attendibile dal tuo computer a quel punto, supponendo che includano componenti di avvio che sono stati ora revocati e quindi non saranno accettati dal tuo computer.

Ancora una volta, è ancora possibile ripristinare i dati, se non l'intera installazione del sistema operativo, utilizzando un computer che è stato completamente aggiornato per creare un'immagine di ripristino completamente aggiornata con il nuovo codice di avvio su di essa, supponendo che tu abbia un computer di riserva a portata di mano per farlo.

Oppure puoi scaricare un'immagine di installazione Microsoft che è già stata aggiornata, supponendo che tu abbia un modo per recuperare il download e supponendo che Microsoft disponga di una nuova immagine disponibile che corrisponda al tuo hardware e sistema operativo.

(Come esperimento, abbiamo appena recuperato [2023-05-09:23:55:00Z] l'ultimo Valutazione aziendale di Windows 11 a 64 bit immagine ISO, che può essere utilizzata sia per il ripristino che per l'installazione, ma non è stata aggiornata di recente.)

E anche se tu o il tuo reparto IT avete il tempo e l'attrezzatura di riserva per creare le immagini di ripristino in modo retrospettivo, sarà comunque una seccatura che richiede tempo e di cui tutti potreste fare a meno, specialmente se lavorate da casa e dozzine di altre persone nella tua azienda sono state ostacolate nello stesso momento e devono ricevere nuovi supporti di ripristino.

Scarica, prepara, revoca

Quindi, Microsoft ha incorporato le materie prime necessarie per questa patch nei file che otterrai quando scarichi l'aggiornamento del Patch Tuesday di maggio 2023, ma ha deliberatamente deciso di non attivare tutti i passaggi necessari per applicare automaticamente la patch.

Invece, Microsoft esorta a seguire un processo manuale in tre passaggi come questo:

  • STEP 1. Scarica l'aggiornamento in modo che tutti i file necessari siano installati sul tuo disco rigido locale. Il tuo computer utilizzerà il nuovo codice di avvio, ma per il momento accetterà ancora il vecchio codice sfruttabile. È importante sottolineare che questo passaggio dell'aggiornamento non dice automaticamente al tuo computer di revocare (cioè non fidarsi più) del vecchio codice di avvio.
  • STEP 2. Patch manualmente tutti i dispositivi avviabili (immagini di ripristino) in modo che contengano il nuovo codice di avvio. Ciò significa che le tue immagini di ripristino funzioneranno correttamente con il tuo computer anche dopo aver completato il passaggio 3 di seguito, ma mentre prepari nuovi dischi di ripristino, quelli vecchi continueranno a funzionare, per ogni evenienza. (Non daremo qui istruzioni passo passo perché ci sono molte varianti diverse; consulta Riferimento di Microsoft anziché.)
  • STEP 3. Dì manualmente al tuo computer di revocare il codice di avvio difettoso. Questo passaggio aggiunge un identificatore crittografico (un hash di file) alla blocklist del firmware della scheda madre per impedire che il vecchio codice di avvio difettoso venga utilizzato in futuro, impedendo così che CVE-2023-24932 venga nuovamente sfruttato. Ritardando questo passaggio fino a dopo il passaggio 2, eviti il ​​rischio di rimanere bloccato con un computer che non si avvia e quindi non può più essere utilizzato per completare il passaggio 2.

Come puoi vedere, se esegui i passaggi 1 e 3 insieme subito, ma lasci il passaggio 2 a più tardi e qualcosa va storto...

…nessuna delle tue immagini di ripristino esistenti funzionerà più perché conterrà il codice di avvio che è già stato rinnegato e bandito dal tuo computer già completamente aggiornato.

Se ti piacciono le analogie, salvare il passaggio 3 fino all'ultimo aiuta a impedirti di chiudere a chiave le chiavi all'interno dell'auto.

La riformattazione del tuo disco rigido locale non ti aiuterà se ti blocchi, perché il passaggio 3 trasferisce gli hash crittografici del codice di avvio revocato dalla memoria temporanea sul tuo disco rigido in un elenco "non fidarti mai più" che è bloccato in un archivio sicuro sul scheda madre stessa.

Nelle parole ufficiali comprensibilmente più drammatiche e ripetitive di Microsoft:

AVVERTENZE

Una volta abilitata la mitigazione per questo problema su un dispositivo, il che significa che le revoche sono state applicate, non può essere ripristinata se si continua a utilizzare l'avvio protetto su quel dispositivo. Anche la riformattazione del disco non rimuoverà le revoche se sono già state applicate.

Sei stato avvertito!

Se tu o il tuo team IT siete preoccupati

Microsoft ha fornito un programma in tre fasi per questo particolare aggiornamento:

  • 2023-05-09 (ora). Il processo manuale completo ma goffo sopra descritto può essere utilizzato per completare la patch oggi stesso. Se sei preoccupato, puoi semplicemente installare la patch (passaggio 1 sopra) ma non fare nient'altro in questo momento, il che lascia il tuo computer con il nuovo codice di avvio e quindi pronto ad accettare la revoca sopra descritta, ma ancora in grado di avviarsi con il tuo dischi di ripristino esistenti. (Nota, ovviamente, che questo lo lascia ancora sfruttabile, perché il vecchio codice di avvio può ancora essere caricato.)
  • 2023-07-11 (due mesi). Vengono promessi strumenti di distribuzione automatica Safter. Presumibilmente, tutti i download ufficiali di installazione di Microsoft verranno aggiornati per allora, quindi anche se qualcosa va storto avrai un modo ufficiale per recuperare un'immagine di ripristino affidabile. A questo punto presumiamo che sarai in grado di completare la patch in modo semplice e sicuro, senza litigare sulle righe di comando o hackerare manualmente il registro.
  • All'inizio del 2024 (il prossimo anno). I sistemi senza patch verranno aggiornati forzatamente, inclusa l'applicazione automatica delle revoche crittografiche che impediranno ai vecchi supporti di ripristino di funzionare sul tuo computer, chiudendo così, si spera, il buco CVE-2023-24932 in modo permanente per tutti.

A proposito, se il tuo computer non ha l'avvio protetto attivato, puoi semplicemente attendere che il processo in tre fasi di cui sopra venga completato automaticamente.

Dopotutto, senza Secure Boot, chiunque abbia accesso al tuo computer potrebbe comunque hackerare il codice di avvio, dato che non esiste una protezione crittografica attiva per bloccare il processo di avvio.

HO IL SECURE BOOT ATTIVATO?

Puoi scoprire se il tuo computer ha attivato l'avvio protetto eseguendo il comando MSINFO32:

Timestamp:

Di più da Sicurezza nuda