Bootkit 제로데이 픽스 – 이것은 Microsoft의 가장 신중한 패치입니까?

Microsoft의 2023년 XNUMX월 패치 화요일 업데이트는 여러분이 예상했던 바로 그 종류의 혼합으로 구성됩니다.

숫자로 가시면 있어요 38 가지 취약점, 그 중 XNUMX개는 중요한 것으로 간주됩니다. XNUMX개는 Windows 자체에 있고 XNUMX개는 SharePoint에 있습니다.

분명히 38홀 중 XNUMX곳은 이미 공개적으로 알려져 있고 그 중 적어도 하나는 이미 사이버 범죄자들에 의해 적극적으로 악용되었기 때문에 제로데이인 것 같습니다.

불행히도, 그 범죄자들은 ​​악명 높은 Black Lotus 랜섬웨어 갱단을 포함하고 있는 것 같습니다. 이 거친 보안 허점더빙 CVE-2023-24932 : 보안 부팅 보안 기능 우회 취약점.

그러나 전체 패치 화요일 다운로드를 수행하고 업데이트를 완료하면 패치를 받을 수 있지만…

… 자동으로 적용되지 않습니다.

필요한 보안 수정 사항을 활성화하려면 다음을 읽고 흡수해야 합니다. 500 단어 게시물 자격 CVE-2023-24932와 관련된 보안 부팅 관리자 변경 사항과 관련된 지침.

그런 다음 교육 참조 거의 3000 단어에 달합니다.

저것이라고 합니다 KB5025885: CVE-2023-24932와 관련된 보안 부팅 변경 사항에 대한 Windows 부팅 관리자 해지 관리 방법.

해지의 문제

당신이 우리의 최근 보도를 따랐다면 MSI 데이터 유출, Money Message라는 거리 이름을 사용하는 다른 사이버 강탈자 집단이 거대 마더보드 MSI에서 도난당한 것으로 추정되는 펌웨어 보안과 관련된 암호화 키가 포함되어 있음을 알게 될 것입니다.

또한 MSI 사건에 대해 작성한 기사의 댓글 작성자가 다음과 같이 질문했다는 사실을 알게 될 것입니다. "MSI가 도난당한 키를 즉시 취소하고 사용을 중지한 다음 새 키로 서명된 새 펌웨어를 출시하지 않는 이유는 무엇입니까?"

그 이야기의 맥락에서 설명했듯이 가능한 악성 펌웨어 코드를 차단하기 위해 손상된 펌웨어 키를 소유하지 않으면 "의도하지 않은 결과의 법칙"으로 알려진 나쁜 사례가 매우 쉽게 발생할 수 있습니다.

예를 들어 첫 번째이자 가장 중요한 단계는 XYZ 키로 서명된 그 어떤 것도 더 이상 신뢰하지 말라고 지시하는 것이라고 결정할 수 있습니다.

결국, 훔친 키를 취소하는 것이 사기꾼에게 키를 쓸모없게 만드는 가장 빠르고 확실한 방법이며, 만약 당신이 충분히 빠르다면 그들이 키를 시도할 기회를 갖기도 전에 자물쇠가 변경될 수도 있습니다.

그러나 이것이 어디로 가는지 알 수 있습니다.

내 컴퓨터가 새로운 키와 업데이트된 펌웨어를 받기 위한 준비 과정에서 도난당한 키를 취소했지만 내 컴퓨터가 잘못된 순간에 재부팅(우발적이든 아니든)하는 경우…

...이미 가지고 있는 펌웨어는 더 이상 신뢰할 수 없으며 부팅할 수 없습니다. 하드 디스크, USB, 네트워크, 아마 전혀 없을 것입니다. 외부 장치에서 무엇이든 로드할 수 있는 펌웨어 코드의 지점까지.

많은주의

Microsoft의 CVE-2023-24932 사례에서는 전체 패치가 마더보드 자체의 기존 펌웨어를 무효화하지 않기 때문에 문제가 그다지 심각하지 않습니다.

전체 패치에는 하드 디스크의 시작 파티션에서 Microsoft의 부팅 코드를 업데이트한 다음 마더보드에 이전의 안전하지 않은 부팅 코드를 더 이상 신뢰하지 않도록 지시하는 작업이 포함됩니다.

이론적으로 문제가 발생하더라도 이전에 준비한 복구 디스크에서 시작하기만 하면 운영 체제 부팅 오류를 복구할 수 있습니다.

현재 해지되어 컴퓨터에서 허용되지 않는 부팅 시 구성 요소가 포함되어 있다고 가정하면 해당 시점에서 기존 복구 디스크 중 어느 것도 컴퓨터에서 신뢰하지 않습니다.

다시 말하지만, 전체 운영 체제 설치가 아닌 경우 새 부팅 코드가 포함된 완전히 최신 복구 이미지를 만들기 위해 완전히 패치된 컴퓨터를 사용하여 데이터를 복구할 수 있습니다. 이를 수행하는 데 편리한 여분의 컴퓨터.

또는 다운로드를 가져올 수 있는 방법이 있고 Microsoft에 하드웨어 및 운영 체제와 일치하는 새로운 이미지가 있다고 가정하고 이미 업데이트된 Microsoft 설치 이미지를 다운로드할 수 있습니다.

(실험으로 방금 [2023-05-09:23:55:00Z] 최신 Windows 11 Enterprise 평가판 64비트 복구 및 설치에 사용할 수 있지만 최근 업데이트되지 않은 ISO 이미지.)

그리고 귀하 또는 귀하의 IT 부서가 소급하여 복구 이미지를 생성할 수 있는 시간과 여분의 장비가 있더라도 특히 집에서 작업하고 수십 개의 회사의 다른 사람들이 동시에 방해를 받아 새로운 복구 미디어를 보내야 합니다.

다운로드, 준비, 취소

따라서 Microsoft는 이 패치에 필요한 원자재를 2023년 XNUMX월 패치 화요일 업데이트를 다운로드할 때 얻게 되는 파일에 포함시켰지만, 패치를 자동으로 적용하는 데 필요한 모든 단계를 활성화하지 않기로 꽤 의도적으로 결정했습니다.

대신 Microsoft는 다음과 같은 XNUMX단계 수동 프로세스를 따라야 한다고 촉구합니다.

• 1 단계. 필요한 모든 파일이 로컬 하드 디스크에 설치되도록 업데이트를 가져옵니다. 컴퓨터는 새 부팅 코드를 사용하지만 당분간은 이전의 악용 가능한 코드를 계속 허용합니다. 중요한 것은 업데이트의 이 단계가 자동으로 컴퓨터에 이전 부트업 코드를 취소(즉, 더 이상 신뢰하지 않음)하도록 지시하지 않는다는 것입니다.
• 2 단계. 모든 부팅 가능한 장치(복구 이미지)를 수동으로 패치하여 새 부팅 코드를 적용합니다. 즉, 아래의 3단계를 완료한 후에도 복구 이미지가 컴퓨터에서 올바르게 작동하지만 새 복구 디스크를 준비하는 동안 이전 디스크는 계속 작동합니다. (다양한 변형이 있기 때문에 여기에서는 단계별 지침을 제공하지 않습니다. 마이크로소프트의 레퍼런스 대신.)
• 3 단계. 버그가 있는 부팅 코드를 취소하도록 컴퓨터에 수동으로 지시하십시오. 이 단계에서는 마더보드의 펌웨어 차단 목록에 암호화 식별자(파일 해시)를 추가하여 이전의 버그가 있는 부팅 코드가 향후에 사용되는 것을 방지하여 CVE-2023-24932가 다시 악용되는 것을 방지합니다. 2단계가 끝날 때까지 이 단계를 연기하면 컴퓨터가 부팅되지 않아 더 이상 2단계를 완료하는 데 사용할 수 없는 문제가 발생하는 위험을 피할 수 있습니다.

보시는 바와 같이 1단계와 3단계를 바로 같이 진행하다가 2단계를 나중으로 놔두면 뭔가 잘못되면…

...기존 복구 이미지는 이미 완전히 업데이트된 컴퓨터에서 이미 소유하지 않고 금지한 부팅 코드를 포함하기 때문에 더 이상 작동하지 않습니다.

비유를 좋아한다면 마지막까지 3단계를 저장하면 차 안에서 키를 잠그는 것을 방지하는 데 도움이 됩니다.

로컬 하드 디스크를 다시 포맷해도 도움이 되지 않습니다. 3단계에서 해지된 부팅 코드의 암호화 해시를 하드 디스크의 임시 저장소에서 "다시는 신뢰하지 않음" 목록으로 전송하여 보안 저장소에 잠겨 있기 때문입니다. 마더보드 자체.

Microsoft의 보다 드라마틱하고 반복적인 공식 표현은 다음과 같습니다.

주의

이 문제에 대한 완화가 장치에서 활성화되면(즉, 해지 적용됨) 해당 장치에서 보안 부팅을 계속 사용하는 경우 되돌릴 수 없습니다. 이미 적용된 취소는 디스크를 다시 포맷해도 제거되지 않습니다.

경고를 받았습니다!

귀하 또는 귀하의 IT 팀이 걱정되는 경우

Microsoft는 이 특정 업데이트에 대해 XNUMX단계 일정을 제공했습니다.

• 2023-05-09(현재). 위에서 설명한 완전하지만 서투른 수동 프로세스를 사용하여 오늘 패치를 완료할 수 있습니다. 걱정이 되시면 패치를 설치(위의 1단계)하고 지금 당장 다른 조치를 취하지 않으셔도 됩니다. 이렇게 하면 컴퓨터가 새 부팅 코드를 실행하므로 위에서 설명한 취소를 수락할 준비가 되지만 여전히 컴퓨터로 부팅할 수 있습니다. 기존 복구 디스크. (물론 이전 부트업 코드를 여전히 로드할 수 있기 때문에 여전히 악용될 수 있습니다.)
• 2023년 07월 11일(XNUMX개월 후). Safter 자동 배포 도구가 약속됩니다. 아마도 그때까지 모든 공식 Microsoft 설치 다운로드가 패치될 것이므로 문제가 발생하더라도 신뢰할 수 있는 복구 이미지를 공식적으로 가져올 수 있는 방법을 갖게 될 것입니다. 이 시점에서는 명령줄을 조작하거나 레지스트리를 직접 해킹하지 않고도 안전하고 쉽게 패치를 완료할 수 있다고 가정합니다.
• 2024년 초(내년). 패치되지 않은 시스템은 강제로 업데이트되며, 여기에는 이전 복구 미디어가 컴퓨터에서 작동하지 않도록 암호화 취소를 자동으로 적용하여 모든 사람을 위해 CVE-2023-24932 취약점을 영구적으로 차단합니다.

그런데 컴퓨터에 보안 부팅이 켜져 있지 않으면 위의 XNUMX단계 프로세스가 자동으로 완료될 때까지 기다리면 됩니다.

결국 보안 부팅이 없으면 시작 프로세스를 잠그는 활성 암호화 보호가 없기 때문에 컴퓨터에 액세스할 수 있는 사람은 누구든지 부팅 코드를 해킹할 수 있습니다.

보안 부팅이 켜져 있습니까?

다음 명령을 실행하여 컴퓨터에 보안 부팅이 켜져 있는지 확인할 수 있습니다. MSINFO32:

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/