תיקון Bootkit Zero Day - האם זה התיקון הזהיר ביותר של מיקרוסופט אי פעם?

עדכוני ה-Patch Tuesday של מאי 2023 של מיקרוסופט מהווים בדיוק את סוג התערובת שכנראה ציפית.

אם אתה הולך לפי מספרים, יש 38 נקודות תורפה, מתוכם שבעה נחשבים קריטיים: שישה ב-Windows עצמה, ואחד ב-SharePoint.

ככל הנראה, שלושה מתוך 38 החורים הם אפס ימים, כי הם כבר ידועים בציבור, ולפחות אחד מהם כבר נוצל באופן פעיל על ידי פושעי סייבר.

לרוע המזל, נראה שהפושעים האלה כוללים את כנופיית תוכנת הכופר השחורה לוטוס הידועה לשמצה, אז טוב לראות תיקון נמסר עבור חור האבטחה הזה בטבע, מדובב CVE-2023-24932: מאפיין אבטחת אתחול מאובטח לעקוף פגיעות.

עם זאת, למרות שתקבל את התיקון אם תבצע הורדה מלאה של Patch Tuesday ותיתן לעדכון להשלים...

...זה לא יוחל אוטומטית.

כדי להפעיל את תיקוני האבטחה הדרושים, תצטרך לקרוא ולספוג א פוסט של 500 מילים רשאי הנחיות הקשורות לשינויים ב-Secure Boot Manager הקשורים ל-CVE-2023-24932.

לאחר מכן, תצטרך לעבוד דרך א התייחסות הדרכה זה מגיע לכמעט 3000 מילים.

לזה קוראים KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל-CVE-2023-24932.

הצרה בביטול

אם עקבת אחר הסיקור האחרון שלנו של הפרת נתונים של MSI, תדע שזה כולל מפתחות הצפנה הרלוונטיים לאבטחת קושחה שנגנבו לכאורה מענקית לוחות האם MSI על ידי כנופיה אחרת של סוחטני סייבר בשם הרחוב Money Message.

תדע גם שמגיבים על המאמרים שכתבנו על תקרית MSI שאלו, "מדוע MSI לא מבטלת מיד את המפתחות הגנובים, מפסיקה להשתמש בהם, ואז דוחפת החוצה קושחה חדשה חתומה עם מפתחות חדשים?"

כפי שהסברנו בהקשר של הסיפור ההוא, התכחשות למפתחות קושחה שנפגעו כדי לחסום קוד קושחה אפשרי יכול בקלות רבה לעורר מקרה רע של מה שמכונה "חוק ההשלכות הבלתי מכוונות".

לדוגמה, אתה עשוי להחליט שהשלב הראשון והחשוב ביותר הוא לומר לי לא לסמוך יותר על שום דבר שנחתם על ידי מפתח XYZ, כי זה זה שנפגע.

אחרי הכל, שלילת המפתח הגנוב היא הדרך המהירה והבטוחה ביותר להפוך אותו לחסר תועלת עבור הנוכלים, ואם תהיו מהירים מספיק, אולי אפילו תחליף את המנעול לפני שתהיה להם הזדמנות לנסות את המפתח בכלל.

אבל אתה יכול לראות לאן זה הולך.

אם המחשב שלי מבטל את המפתח הגנוב לקראת קבלת מפתח חדש וקושחה מעודכנת, אבל המחשב שלי מאתחל (בטעות או אחרת) ברגע הלא נכון...

...ואז הקושחה שכבר יש לי כבר לא תהיה מהימנה, ואני לא אוכל לאתחל - לא מהדיסק הקשיח, לא מה-USB, לא מהרשת, כנראה בכלל, כי אני לא אקבל עד לנקודה בקוד הקושחה שבה יכולתי לטעון כל דבר מהתקן חיצוני.

שפע של זהירות

במקרה של CVE-2023-24932 של מיקרוסופט, הבעיה לא ממש חמורה כמו זו, מכיוון שהתיקון המלא לא מבטל את הקושחה הקיימת בלוח האם עצמו.

התיקון המלא כולל עדכון קוד האתחול של מיקרוסופט במחיצת האתחול של הדיסק הקשיח שלך, ואז הודעה ללוח האם שלך לא לסמוך יותר על קוד האתחול הישן והלא מאובטח.

בתיאוריה, אם משהו משתבש, אתה עדיין אמור להיות מסוגל להתאושש מכשל באתחול של מערכת ההפעלה פשוט על ידי הפעלה מדיסק שחזור שהכנת קודם לכן.

פרט לכך שאף אחד מדיסקי השחזור הקיימים שלך לא יהיה מהימן על ידי המחשב שלך בשלב זה, בהנחה שהם כוללים רכיבי זמן אתחול אשר בוטלו כעת ולכן לא יתקבלו על ידי המחשב שלך.

שוב, אתה עדיין כנראה יכול לשחזר את הנתונים שלך, אם לא את כל התקנת מערכת ההפעלה שלך, על ידי שימוש במחשב שתוקן במלואו כדי ליצור תמונת שחזור עדכנית לחלוטין עם קוד האתחול החדש עליה, בהנחה שיש לך מחשב רזרבי נוח לעשות זאת.

או שאתה יכול להוריד תמונת התקנה של Microsoft שכבר עודכנה, בהנחה שיש לך דרך כלשהי להביא את ההורדה, ובהנחה שלמיקרוסופט יש תמונה חדשה זמינה התואמת את החומרה ומערכת ההפעלה שלך.

(כניסוי, זה עתה הבאנו את [2023-05-09:23:55:00Z] את העדכון האחרון Windows 11 Enterprise Evaluation 64 סיביות תמונת ISO, שניתן להשתמש בה לשחזור וגם להתקנה, אך היא לא עודכנה לאחרונה.)

וגם אם יש לך או למחלקת ה-IT שלך את הזמן והציוד הפנוי ליצור תמונות שחזור בדיעבד, זו עדיין תהיה טרחה גוזלת זמן שכולכם יכולים להסתדר בלעדיה, במיוחד אם אתם עובדים מהבית ועשרות אנשים אחרים בחברה שלך נמנעו בו-זמנית וצריך לשלוח להם מדיית שחזור חדשה.

הורד, הכן, בטל

אז, מיקרוסופט בנתה את חומרי הגלם שאתה צריך עבור התיקון הזה לתוך הקבצים שתקבל כאשר אתה מוריד את עדכון מאי 2023 Patch Tuesday, אבל החליטה בכוונה לא להפעיל את כל השלבים הדרושים להחלת התיקון באופן אוטומטי.

במקום זאת, מיקרוסופט קוראת שעליך לבצע תהליך ידני בן שלושה שלבים כמו זה:

• שלב 1. אחזר את העדכון כך שכל הקבצים שאתה צריך מותקנים בדיסק הקשיח המקומי שלך. המחשב שלך ישתמש בקוד האתחול החדש, אך עדיין יקבל את הקוד הישן שניתן לניצול לעת עתה. חשוב לציין, שלב זה של העדכון עדיין לא אומר למחשב שלך לבטל (כלומר לא לסמוך עוד) את קוד האתחול הישן.
• שלב 2. תקן ידנית את כל ההתקנים הניתנים לאתחול שלך (תמונות שחזור) כדי שיהיה עליהם את קוד האתחול החדש. משמעות הדבר היא שתמונות השחזור שלך יפעלו כהלכה עם המחשב שלך גם לאחר שתסיים את שלב 3 להלן, אבל בזמן שאתה מכין דיסקי שחזור חדשים, הישנים שלך עדיין יפעלו, לכל מקרה. (אנחנו לא מתכוונים לתת כאן הוראות שלב אחר שלב כי יש הרבה גרסאות שונות; התייעצו הפניה של מיקרוסופט במקום זאת.)
• שלב 3. אמור ידנית למחשב שלך לבטל את קוד האתחול באגי. שלב זה מוסיף מזהה קריפטוגרפי (hash קובץ) לרשימת החסימות של הקושחה של לוח האם שלך כדי למנוע שימוש בקוד האתחול הישן והבאגי בעתיד, ובכך למנוע את ניצול ה-CVE-2023-24932 שוב. על ידי דחיית שלב זה עד לאחר שלב 2, אתה מונע את הסיכון להיתקע עם מחשב שלא מאתחל ולכן לא ניתן עוד להשתמש בו להשלמת שלב 2.

כפי שאתה יכול לראות, אם אתה מבצע את שלבים 1 ו-3 ביחד מיד, אבל השאר את שלב 2 עד מאוחר יותר, ומשהו משתבש...

...אף אחת מתמונות השחזור הקיימות שלך לא תעבוד יותר מכיוון שהיא תכיל קוד אתחול שכבר נדחה ונאסר על ידי המחשב שלך שכבר מעודכן במלואו.

אם אתה אוהב אנלוגיות, שמירת שלב 3 עד האחרון מסייעת למנוע ממך לנעול את המפתחות בתוך המכונית.

פירמוט מחדש של הדיסק הקשיח המקומי שלך לא יעזור אם תנעל את עצמך בחוץ, מכיוון ששלב 3 מעביר את ה-hashs ההצפנה של קוד האתחול שבוטל מאחסון זמני בדיסק הקשיח שלך לרשימה "לעולם אל תבטח שוב" הננעלת באחסון מאובטח ב- לוח האם עצמו.

במילים הרשמיות המובנות יותר של מיקרוסופט, הדרמטיות והחוזרות על עצמן:

זהירות

ברגע שההקלה עבור בעיה זו מופעלת במכשיר, כלומר הביטולים הוחלו, לא ניתן לבטל אותה אם תמשיך להשתמש באתחול מאובטח במכשיר זה. אפילו עיצוב מחדש של הדיסק לא יסיר את הביטולים אם הם כבר הוחלו.

ראה הוזהרת!

אם אתה או צוות ה-IT שלך מודאגים

מיקרוסופט סיפקה לוח זמנים בן שלושה שלבים עבור העדכון המסוים הזה:

• 2023-05-09 (עכשיו). ניתן להשתמש בתהליך הידני המלא אך המגושם שתואר לעיל כדי להשלים את התיקון היום. אם אתה מודאג, אתה יכול פשוט להתקין את התיקון (שלב 1 לעיל) אבל לא לעשות שום דבר אחר כרגע, מה שמשאיר את המחשב שלך מריץ את קוד האתחול החדש ולכן מוכן לקבל את הביטול המתואר לעיל, אך עדיין מסוגל לאתחל עם דיסקי שחזור קיימים. (שים לב, כמובן, שזה משאיר אותו עדיין ניתן לניצול, מכיוון שקוד האתחול הישן עדיין יכול להיטען.)
• 2023-07-11 (לפני חודשיים). מובטחים כלי פריסה אוטומטיים בטוחים יותר. ככל הנראה, כל הורדות ההתקנה הרשמיות של מיקרוסופט יתוקנו עד אז, כך שגם אם משהו ישתבש תהיה לך דרך רשמית להביא תמונת שחזור אמינה. בשלב זה, אנו מניחים שתוכלו להשלים את התיקון בבטחה ובקלות, מבלי להתחבט עם שורות פקודה או לפרוץ את הרישום ביד.
• בתחילת 2024 (שנה הבאה). מערכות לא מתוקנות יעודכנו בכפייה, כולל החלה אוטומטית של ביטולי ההצפנה שימנעו מדיית שחזור ישנה לעבוד על המחשב שלך, ובכך יש לקוות לסגור את החור CVE-2023-24932 לצמיתות עבור כולם.

אגב, אם במחשב שלך לא מופעל אתחול מאובטח, אתה יכול פשוט להמתין עד שתהליך שלושת השלבים שלמעלה יושלם באופן אוטומטי.

אחרי הכל, ללא אתחול מאובטח, כל מי שיש לו גישה למחשב שלך יכול לפרוץ את קוד האתחול בכל מקרה, בהתחשב בכך שאין הגנה קריפטוגרפית פעילה כדי לנעול את תהליך האתחול.

---

האם הפעלתי את האתחול המאובטח?

אתה יכול לגלות אם המחשב שלך מופעל על ידי אתחול מאובטח על ידי הפעלת הפקודה MSINFO32:

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/