Bootkit zero-day fix – is dit de meest voorzichtige patch van Microsoft ooit?

Bootkit zero-day fix – is dit de meest voorzichtige patch van Microsoft ooit?

Tijdstempel: 10 mei 2023 7:50 uur
Bronknooppunt: 2641175
by Paul Ducklin

Microsoft's Patch Tuesday-updates van mei 2023 bevatten precies het soort mix dat u waarschijnlijk had verwacht.

Als je naar cijfers kijkt, zijn er 38 kwetsbaarheden, waarvan er zeven als kritiek worden beschouwd: zes in Windows zelf en één in SharePoint.

Blijkbaar zijn drie van de 38 holes zero-days, omdat ze al algemeen bekend zijn, en ten minste één ervan is al actief uitgebuit door cybercriminelen.

Helaas lijken die criminelen ook de beruchte Black Lotus ransomware-bende te omvatten, dus het is goed om te zien dat er een patch voor is geleverd dit in-the-wild beveiligingsleknagesynchroniseerd CVE-2023-24932: Secure Boot Beveiligingsfunctie Omzeil kwetsbaarheid.

Hoewel u de patch krijgt als u een volledige Patch Tuesday-download uitvoert en de update laat voltooien...

…het wordt niet automatisch toegepast.

Om de nodige beveiligingsoplossingen te activeren, moet u een Post van 500 woorden gerechtigd Richtlijnen met betrekking tot wijzigingen in Secure Boot Manager in verband met CVE-2023-24932.

Dan moet je een instructieve referentie dat loopt tot bijna 3000 woorden.

Die heet KB5025885: De intrekkingen van Windows Boot Manager voor Secure Boot-wijzigingen in verband met CVE-2023-24932 beheren.

Het probleem met intrekking

Als je onze recente berichtgeving over de MSI-gegevenslek, weet u dat het gaat om cryptografische sleutels die relevant zijn voor firmwarebeveiliging en die naar verluidt zijn gestolen van moederbordgigant MSI door een andere bende cyberafpersers die de straatnaam Money Message droegen.

U zult ook weten dat commentatoren op de artikelen die we over het MSI-incident hebben geschreven, hebben gevraagd: "Waarom trekt MSI de gestolen sleutels niet onmiddellijk in, stopt ze met het gebruik ervan en pusht ze vervolgens nieuwe firmware ondertekend met nieuwe sleutels?"

Zoals we in de context van dat verhaal hebben uitgelegd, kan het verloochenen van gecompromitteerde firmwaresleutels om mogelijke frauduleuze firmwarecode te blokkeren heel gemakkelijk leiden tot een slecht geval van wat bekend staat als "de wet van onbedoelde gevolgen".

Je zou bijvoorbeeld kunnen besluiten dat de eerste en belangrijkste stap is om me te vertellen dat ik niets meer mag vertrouwen dat is ondertekend door sleutel XYZ, omdat dat degene is die is gecompromitteerd.

Het intrekken van de gestolen sleutel is tenslotte de snelste en zekerste manier om hem onbruikbaar te maken voor de boeven, en als je snel genoeg bent, kun je zelfs het slot laten vervangen voordat ze de kans hebben gehad om de sleutel te proberen.

Maar je kunt zien waar dit naartoe gaat.

Als mijn computer de gestolen sleutel intrekt ter voorbereiding op het ontvangen van een nieuwe sleutel en bijgewerkte firmware, maar mijn computer opnieuw opstart (al dan niet per ongeluk) op het verkeerde moment...

…dan wordt de firmware die ik al heb niet langer vertrouwd en kan ik niet opstarten – niet van de harde schijf, niet van USB, niet van het netwerk, waarschijnlijk helemaal niet, want ik krijg geen tot aan het punt in de firmwarecode waar ik iets van een extern apparaat kon laden.

Een overvloed aan voorzichtigheid

In het geval van CVE-2023-24932 van Microsoft is het probleem niet zo ernstig, omdat de volledige patch de bestaande firmware op het moederbord zelf niet ongeldig maakt.

De volledige patch omvat het bijwerken van de opstartcode van Microsoft in de opstartpartitie van uw harde schijf, en vervolgens uw moederbord vertellen om de oude, onveilige opstartcode niet meer te vertrouwen.

In theorie zou je, als er iets misgaat, nog steeds in staat moeten zijn om te herstellen van een opstartfout van het besturingssysteem door simpelweg op te starten vanaf een herstelschijf die je eerder hebt voorbereid.

Behalve dat geen van uw bestaande herstelschijven op dat moment door uw computer zal worden vertrouwd, ervan uitgaande dat ze opstartcomponenten bevatten die nu zijn ingetrokken en dus niet door uw computer worden geaccepteerd.

Nogmaals, u kunt waarschijnlijk nog steeds uw gegevens herstellen, zo niet uw volledige installatie van het besturingssysteem, door een computer te gebruiken die volledig is gepatcht om een ​​volledig up-to-date herstelimage te maken met de nieuwe opstartcode erop, ervan uitgaande dat u een reservecomputer handig om dat te doen.

Of u kunt een Microsoft-installatiekopie downloaden die al is bijgewerkt, ervan uitgaande dat u de download op een of andere manier kunt ophalen en ervan uitgaande dat Microsoft een nieuwe afbeelding beschikbaar heeft die overeenkomt met uw hardware en besturingssysteem.

(Als experiment hebben we zojuist [2023-05-09:23:55:00Z] de nieuwste Windows 11 Enterprise-evaluatie 64-bits ISO-image, dat zowel voor herstel als voor installatie kan worden gebruikt, maar dat niet recentelijk is bijgewerkt.)

En zelfs als u of uw IT-afdeling de tijd en de reserveapparatuur hebben om achteraf herstelimages te maken, wordt het nog steeds een tijdrovend gedoe dat u allemaal zou kunnen missen, vooral als u vanuit huis werkt en tientallen andere mensen in uw bedrijf zijn tegelijkertijd gedwarsboomd en moeten nieuwe herstelmedia ontvangen.

Downloaden, voorbereiden, intrekken

Dus Microsoft heeft de ruwe materialen die je nodig hebt voor deze patch ingebouwd in de bestanden die je krijgt als je je Patch Tuesday-update van mei 2023 downloadt, maar heeft er heel bewust voor gekozen om niet alle stappen te activeren die nodig zijn om de patch automatisch toe te passen.

In plaats daarvan dringt Microsoft erop aan dat u een handmatig proces in drie stappen volgt, zoals dit:

  • STAP 1. Haal de update op zodat alle bestanden die je nodig hebt op je lokale harde schijf worden geïnstalleerd. Uw computer gebruikt de nieuwe opstartcode, maar accepteert voorlopig nog steeds de oude code die misbruikt kan worden. Belangrijk is dat deze stap van de update uw computer nog niet automatisch vertelt om de oude opstartcode in te trekken (dwz niet langer te vertrouwen).
  • STAP 2. Patch handmatig al uw opstartbare apparaten (herstelimages) zodat ze de nieuwe opstartcode hebben. Dit betekent dat uw herstel-images correct werken met uw computer, zelfs nadat u stap 3 hieronder hebt voltooid, maar terwijl u nieuwe herstelschijven voorbereidt, zullen uw oude nog steeds werken, voor het geval dat. (We gaan hier geen stapsgewijze instructies geven omdat er veel verschillende varianten zijn; raadpleeg Referentie van Microsoft in plaats daarvan.)
  • STAP 3. Vertel uw computer handmatig om de opstartcode van de buggy in te trekken. Deze stap voegt een cryptografische identifier (een bestandshash) toe aan de firmwareblokkeerlijst van uw moederbord om te voorkomen dat de oude opstartcode met fouten in de toekomst wordt gebruikt, waardoor wordt voorkomen dat CVE-2023-24932 opnieuw wordt misbruikt. Door deze stap uit te stellen tot na stap 2, voorkom je dat je vast komt te zitten met een computer die niet wil opstarten en dus niet meer gebruikt kan worden om stap 2 te voltooien.

Zoals je kunt zien, als je stap 1 en 3 meteen samen uitvoert, maar stap 2 laat staan ​​tot later, en er gaat iets mis...

…geen van uw bestaande herstel-images zal meer werken omdat ze opstartcode bevatten die al is verstoten en verbannen door uw reeds volledig bijgewerkte computer.

Als je van analogieën houdt, kun je stap 3 als laatste opslaan om te voorkomen dat je je sleutels in de auto op slot doet.

Het opnieuw formatteren van uw lokale harde schijf zal niet helpen als u uzelf buitensluit, omdat stap 3 de cryptografische hashes van de ingetrokken opstartcode overbrengt van de tijdelijke opslag op uw harde schijf naar een "nooit meer vertrouwen"-lijst die is vergrendeld in veilige opslag op de moederbord zelf.

In de begrijpelijkerwijs meer dramatische en repetitieve officiële woorden van Microsoft:

LET OP

Zodra de oplossing voor dit probleem is ingeschakeld op een apparaat, wat betekent dat de intrekkingen zijn toegepast, kan het niet meer worden teruggedraaid als u Secure Boot op dat apparaat blijft gebruiken. Zelfs het opnieuw formatteren van de schijf zal de intrekkingen niet verwijderen als ze al zijn toegepast.

Je bent gewaarschuwd!

Als u of uw IT-team zich zorgen maakt

Microsoft heeft een drietrapsschema voor deze specifieke update verstrekt:

  • 2023-05-09 (nu). Het volledige maar onhandige handmatige proces dat hierboven is beschreven, kan worden gebruikt om de patch vandaag te voltooien. Als u zich zorgen maakt, kunt u gewoon de patch installeren (stap 1 hierboven) maar verder niets doen, waardoor uw computer de nieuwe opstartcode laat draaien en dus klaar is om de hierboven beschreven intrekking te accepteren, maar nog steeds in staat is om op te starten met uw bestaande herstelschijven. (Houd er natuurlijk rekening mee dat het hierdoor nog steeds kan worden misbruikt, omdat de oude opstartcode nog steeds kan worden geladen.)
  • 2023-07-11 (twee maanden tijd). Er worden veiliger automatische implementatietools beloofd. Vermoedelijk zullen alle officiële Microsoft-installatiedownloads tegen die tijd gepatcht zijn, dus zelfs als er iets misgaat, heb je een officiële manier om een ​​betrouwbaar herstelimage op te halen. Op dit punt gaan we ervan uit dat u de patch veilig en gemakkelijk kunt voltooien, zonder dat u met de opdrachtregels hoeft te knoeien of het register met de hand hoeft te hacken.
  • Begin 2024 (volgend jaar). Niet-gepatchte systemen zullen geforceerd worden bijgewerkt, inclusief het automatisch toepassen van de cryptografische intrekkingen die voorkomen dat oude herstelmedia op uw computer werken, waardoor hopelijk het CVE-2023-24932-gat voor iedereen permanent wordt afgesloten.

Trouwens, als op uw computer Secure Boot niet is ingeschakeld, kunt u gewoon wachten tot het drietrapsproces hierboven automatisch is voltooid.

Immers, zonder Secure Boot zou iedereen met toegang tot uw computer de opstartcode toch kunnen hacken, aangezien er geen actieve cryptografische beveiliging is om het opstartproces te vergrendelen.

HEB IK SECURE BOOT INGESCHAKELD?

U kunt erachter komen of op uw computer Secure Boot is ingeschakeld door de opdracht uit te voeren MSINFO32:

Tijdstempel:

Meer van Naakte beveiliging