ブートキットのゼロデイ修正 – これは Microsoft 史上最も慎重なパッチですか?

ブートキットのゼロデイ修正 – これは Microsoft 史上最も慎重なパッチですか?

タイムスタンプ:10年2023月7日50:XNUMX AM
ソースノード: 2641175
by ポール・ダックリン

Microsoft の 2023 年 XNUMX 月のパッチ火曜日アップデートは、おそらく皆さんが予想していた通りの組み合わせで構成されています。

数字で見ると、以下のようなものがあります。 38脆弱性そのうち XNUMX つは重要とみなされます。XNUMX つは Windows 自体、XNUMX つは SharePoint です。

どうやら、38 ホールのうち XNUMX ホールはゼロデイであるようです。これらはすでに公に知られており、少なくとも XNUMX ホールはすでにサイバー犯罪者によって積極的に悪用されているからです。

残念ながら、これらの犯罪者には悪名高い Black Lotus ランサムウェア ギャングが含まれているようです。そのため、パッチが配信されるのは良いことです。 この野蛮なセキュリティホール、吹き替え CVE-2023-24932: セキュア ブート セキュリティ機能バイパスの脆弱性。

ただし、火曜日のパッチを完全にダウンロードしてアップデートを完了するとパッチを入手できますが…

…自動的には適用されません。

必要なセキュリティ修正を有効にするには、次の文書を読んで理解する必要があります。 500語の投稿 と題する CVE-2023-24932 に関連するセキュア ブート マネージャーの変更に関するガイダンス.

次に、次のような作業を行う必要があります。 取扱説明書 それは約 3000 語に達します。

あの人はと呼ばれています KB5025885: CVE-2023-24932 に関連するセキュア ブート変更に対する Windows ブート マネージャーの取り消しを管理する方法.

失効に関するトラブル

私たちの最近の報道をフォローしている場合は、 MSIのデータ侵害, これには、Money Message という名前で活動する別のサイバー恐喝集団によってマザーボード大手 MSI から盗まれたとされるファームウェアのセキュリティに関連する暗号キーが含まれていることがわかります。

MSI 事件について私たちが書いた記事のコメント投稿者が次のように質問していることもご存知でしょう。 「なぜMSIは盗まれたキーをただちに無効にして使用を停止し、新しいキーで署名された新しいファームウェアをプッシュしないのでしょうか?」

この話の文脈で説明したように、不正なファームウェア コードの可能性をブロックするために侵害されたファームウェア キーを否認すると、「予期せぬ結果の法則」として知られる悪いケースが非常に簡単に引き起こされる可能性があります。

たとえば、最初の最も重要なステップは、キー XYZ によって署名されたものは危険にさらされているため、これ以上信用しないように指示することであると決定するかもしれません。

結局のところ、盗まれたキーを無効にするのが、犯罪者にとってそのキーを役に立たなくする最も速く確実な方法であり、十分に迅速であれば、彼らがキーを試行する前にロックを変更できる可能性もあります。

しかし、これがどうなるかはわかります。

新しいキーと更新されたファームウェアを受け取る準備としてコンピューターが盗まれたキーを取り消したが、コンピューターが (偶然かどうかにかかわらず) 間違ったタイミングで再起動した場合…

…その場合、私がすでに入手しているファームウェアは信頼できなくなり、起動できなくなります。ハードディスクからでも、USBからでも、ネットワークからでも、おそらくまったく不可能です。ファームウェアコード内で外部デバイスから何かをロードできる時点までは。

十分な警戒

Microsoft の CVE-2023-24932 の場合、完全なパッチはマザーボード自体の既存のファームウェアを無効にしないため、問題はそれほど深刻ではありません。

完全なパッチには、ハードディスクの起動パーティションにある Microsoft の起動コードを更新し、古い安全でない起動コードをもう信頼しないようにマザーボードに指示することが含まれます。

理論上は、何か問題が発生した場合でも、事前に準備したリカバリ ディスクから起動するだけで、オペレーティング システムの起動障害から回復できるはずです。

ただし、既存のリカバリ ディスクには、現在取り消されておりコンピュータに受け入れられないブート時コンポーネントが含まれていると仮定すると、その時点でコンピュータによって信頼されるものはありません。

繰り返しますが、完全にパッチが適用されたコンピュータを使用して、新しいブートアップ コードを含む完全に最新のリカバリ イメージを作成することで、オペレーティング システムのインストール全体ではないにしても、おそらくデータをリカバリできます。それには予備のコンピューターが便利です。

または、ダウンロードを取得する何らかの方法があり、使用しているハードウェアとオペレーティング システムに適合する最新のイメージが Microsoft から提供されていると仮定して、すでに更新されている Microsoft インストール イメージをダウンロードすることもできます。

(実験として、最新の [2023-05-09:23:55:00Z] を取得しました。 Windows 11 Enterprise 評価版 64 ビット ISO イメージ。インストールだけでなくリカバリにも使用できますが、最近更新されていませんでした。)

また、たとえあなたや IT 部門に遡ってリカバリ イメージを作成するための時間と予備の機器があるとしても、特に自宅で仕事をしていたり​​、何十人ものユーザーがいる場合には、時間のかかる面倒な作業であることに変わりはありません。社内の他の従業員も同時に障害を受けており、新しいリカバリ メディアを送信する必要があります。

ダウンロード、準備、取り消し

そのため、Microsoft は、このパッチに必要な原材料を、2023 年 XNUMX 月の火曜日のパッチ更新をダウンロードしたときに取得するファイルに組み込んでいますが、パッチを自動的に適用するために必要なすべての手順をアクティブ化しないことをかなり慎重に決定しました。

代わりに、Microsoft は次のような XNUMX 段階の手動プロセスに従う必要があることを推奨しています。

  • ステップ1。 アップデートを取得して、必要なすべてのファイルがローカル ハード ディスクにインストールされるようにします。 コンピュータは新しいブートアップ コードを使用しますが、当面は古い悪用可能なコードを引き続き受け入れます。 重要なのは、アップデートのこのステップでは、古いブートアップ コードを取り消す (つまり、信頼しなくなる) ようにコンピュータに自動的に指示するわけではありません。
  • ステップ2。 すべてのブート可能デバイス (リカバリ イメージ) に手動でパッチを適用し、新しいブートアップ コードが適用されるようにします。 これは、以下の手順 3 を完了した後でも、リカバリ イメージがコンピュータで正しく動作することを意味しますが、新しいリカバリ ディスクを準備している間は、念のため古いリカバリ ディスクも引き続き動作します。 (さまざまなバリエーションがあるため、ここでは詳しい手順は説明しません。詳しくはこちらをご覧ください。 マイクロソフトのリファレンス 代わりに)
  • ステップ3。 バグのあるブートアップ コードを取り消すようにコンピュータに手動で指示します。 この手順では、マザーボードのファームウェア ブロックリストに暗号化識別子 (ファイル ハッシュ) を追加して、古いバグのあるブートアップ コードが今後使用されるのを防ぎ、CVE-2023-24932 が再び悪用されるのを防ぎます。 このステップをステップ 2 の後まで遅らせることで、コンピュータが起動せず、ステップ 2 を完了するために使用できなくなるというリスクを回避できます。

ご覧のとおり、ステップ 1 と 3 をすぐに一緒に実行し、ステップ 2 を後まで放置すると、何か問題が発生します。

…既存のリカバリ イメージはどれも、すでに完全に更新されたコンピュータによってすでに否定され、禁止されているブートアップ コードが含まれているため、もう機能しません。

たとえるのが好きなら、ステップ 3 を最後まで保存しておくと、車内にキーを閉じ込めるのを防ぐことができます。

自分自身をロックアウトした場合、ローカル ハードディスクを再フォーマットしても役に立ちません。手順 3 では、取り消されたブートアップ コードの暗号化ハッシュがハードディスク上の一時ストレージから「二度と信頼されない」リストに転送され、そのリストがセキュリティで保護されたストレージにロックされます。マザーボード自体。

当然のことながら、よりドラマチックで反復的な Microsoft の公式の言葉は次のとおりです。

注意

この問題の軽減策がデバイスで有効になると、取り消しが適用されると、そのデバイスでセキュア ブートを使用し続けると、元に戻すことはできません。 すでに失効が適用されている場合、ディスクを再フォーマットしても失効は削除されません。

警告されました!

あなたまたはあなたの IT チームが心配している場合

Microsoft は、この特定のアップデートに関して XNUMX 段階のスケジュールを提供しています。

  • 2023-05-09 (現在)。 上で説明した完全ではあるが不器用な手動プロセスを使用すれば、今すぐパッチを完成させることができます。 心配な場合は、パッチをインストールするだけで (上記の手順 1)、現時点では他に何もする必要はありません。これにより、コンピュータは新しいブートアップ コードを実行したままになり、上記の取り消しを受け入れる準備が整いますが、引き続きコンピュータで起動できます。既存のリカバリディスク。 (もちろん、古いブートアップ コードが依然としてロードされる可能性があるため、これにより依然として悪用可能であることに注意してください。)
  • 2023-07-11 (XNUMX か月後)。 Saafter 自動展開ツールが約束されています。おそらく、それまでにすべての Microsoft の公式インストール ダウンロードにはパッチが適用されるでしょう。そのため、何か問題が発生した場合でも、信頼できるリカバリ イメージを取得する公式の方法が得られるでしょう。この時点では、コマンド ラインを調べたり、手作業でレジストリをハッキングしたりすることなく、安全かつ簡単にパッチを完了できると想定しています。
  • 2024年初頭(来年)。 パッチが適用されていないシステムは、古いリカバリ メディアがコンピュータ上で動作するのを妨げる暗号失効を自動的に適用するなど、強制的に更新されます。これにより、CVE-2023-24932 ホールがすべての人に対して永久に封鎖されることが期待されます。

ちなみに、コンピュータでセキュア ブートがオンになっていない場合は、上記の XNUMX 段階のプロセスが自動的に完了するまで待つことができます。

結局のところ、セキュア ブートがなければ、起動プロセスをロックダウンするアクティブな暗号化保護がないため、コンピュータにアクセスできる人は誰でも起動コードをハッキングすることができます。

セキュアブートはオンになっていますか?

次のコマンドを実行すると、コンピュータのセキュア ブートがオンになっているかどうかを確認できます。 MSINFO32:

タイムスタンプ:

より多くの 裸のセキュリティ