Bootkit zero-day fix – er dette Microsofts mest forsiktige oppdatering noensinne?

Bootkit zero-day fix – er dette Microsofts mest forsiktige oppdatering noensinne?

Tidsstempel: 10. mai 2023 7:50
Kilde node: 2641175
by Paul Ducklin

Microsofts mai 2023 Patch Tuesday-oppdateringer inneholder akkurat den typen blanding du sannsynligvis forventet.

Hvis du går etter tall, er det det 38 sårbarheter, hvorav syv anses som kritiske: seks i selve Windows og én i SharePoint.

Tilsynelatende er tre av de 38 hullene zero-days, fordi de allerede er offentlig kjent, og minst ett av dem har allerede blitt aktivt utnyttet av nettkriminelle.

Dessverre ser det ut til at disse kriminelle inkluderer den beryktede Black Lotus løsepengevaregjengen, så det er godt å se en patch levert for dette i-the-ville sikkerhetshullet, dubbet CVE-2023-24932: Secure Boot Security Feature Omgå sårbarhet.

Men selv om du får oppdateringen hvis du utfører en full Patch Tuesday-nedlasting og lar oppdateringen fullføre ...

…det vil ikke bli brukt automatisk.

For å aktivere de nødvendige sikkerhetsrettelsene, må du lese og absorbere en 500 XNUMX ord innlegg Med tittelen Veiledning knyttet til endringer i Secure Boot Manager knyttet til CVE-2023-24932.

Deretter må du jobbe deg gjennom en instruksjonsreferanse som går på nesten 3000 ord.

Den heter KB5025885: Slik administrerer du tilbakekallinger av Windows Boot Manager for Secure Boot-endringer knyttet til CVE-2023-24932.

Problemet med tilbakekalling

Hvis du har fulgt vår nylige dekning av MSI databrudd, vil du vite at det involverer kryptografiske nøkler som er relevante for fastvaresikkerhet som angivelig ble stjålet fra hovedkortgiganten MSI av en annen gjeng med cyberutpressere som går under gatenavnet Money Message.

Du vil også vite at kommentatorer på artiklene vi har skrevet om MSI-hendelsen har spurt, "Hvorfor tilbakekaller ikke MSI umiddelbart de stjålne nøklene, slutter å bruke dem og skyver deretter ut ny fastvare signert med nye nøkler?"

Som vi har forklart i sammenheng med den historien, kan det å nekte kompromitterte fastvarenøkler for å blokkere mulig falsk fastvarekode veldig lett provosere en dårlig sak av det som er kjent som "loven om utilsiktede konsekvenser".

For eksempel kan du bestemme deg for at det første og viktigste trinnet er å fortelle meg at jeg ikke lenger skal stole på noe som er signert med nøkkelen XYZ, fordi det er den som har blitt kompromittert.

Å tilbakekalle den stjålne nøkkelen er tross alt den raskeste og sikreste måten å gjøre den ubrukelig for skurkene, og hvis du er rask nok, kan du til og med få byttet låsen før de har en sjanse til å prøve nøkkelen i det hele tatt.

Men du kan se hvor dette går.

Hvis datamaskinen min tilbakekaller den stjålne nøkkelen som forberedelse til å motta en ny nøkkel og oppdatert firmware, men datamaskinen min starter på nytt (ved et uhell eller på annen måte) på feil tidspunkt...

...da vil fastvaren jeg allerede har ikke lenger være klarert, og jeg vil ikke kunne starte opp – ikke fra harddisken, ikke av USB, ikke av nettverket, sannsynligvis ikke i det hele tatt, fordi jeg ikke får så langt som punktet i fastvarekoden hvor jeg kunne laste inn hva som helst fra en ekstern enhet.

En overflod av forsiktighet

I Microsofts CVE-2023-24932-tilfelle er ikke problemet fullt så alvorlig som det, fordi den fullstendige oppdateringen ikke ugyldiggjør den eksisterende fastvaren på selve hovedkortet.

Den fullstendige oppdateringen innebærer å oppdatere Microsofts oppstartskode i harddiskens oppstartspartisjon, og deretter fortelle hovedkortet om ikke å stole på den gamle, usikre oppstartskoden lenger.

I teorien, hvis noe går galt, bør du fortsatt kunne gjenopprette fra en oppstartsfeil i operativsystemet ved å starte opp fra en gjenopprettingsdisk du forberedte tidligere.

Bortsett fra at ingen av dine eksisterende gjenopprettingsdisker vil bli klarert av datamaskinen din på det tidspunktet, forutsatt at de inkluderer oppstartskomponenter som nå er tilbakekalt og derfor ikke vil bli akseptert av datamaskinen.

Igjen, du kan fortsatt sannsynligvis gjenopprette dataene dine, om ikke hele operativsysteminstallasjonen, ved å bruke en datamaskin som er fullstendig oppdatering for å lage et fullstendig oppdatert gjenopprettingsbilde med den nye oppstartskoden på, forutsatt at du har en ekstra datamaskin hendig for å gjøre det.

Eller du kan laste ned et Microsoft-installasjonsbilde som allerede er oppdatert, forutsatt at du har en måte å hente nedlastingen på, og forutsatt at Microsoft har et nytt bilde tilgjengelig som samsvarer med maskinvaren og operativsystemet ditt.

(Som et eksperiment hentet vi nettopp [2023-05-09:23:55:00Z] det siste Windows 11 Enterprise Evaluation 64-bit ISO-bilde, som kan brukes til gjenoppretting så vel som installasjon, men det hadde ikke blitt oppdatert nylig.)

Og selv om du eller IT-avdelingen din har tid og ekstra utstyr til å lage gjenopprettingsbilder i etterkant, vil det fortsatt være et tidkrevende problem som dere alle kan klare dere uten, spesielt hvis du jobber hjemmefra og dusinvis av andre personer i bedriften din har blitt hindret på samme tid og må sendes nye gjenopprettingsmedier.

Last ned, klargjør, tilbakekall

Så Microsoft har bygget inn råvarene du trenger for denne oppdateringen i filene du får når du laster ned oppdateringen din for mai 2023 Patch Tuesday, men har helt bevisst bestemt seg for å ikke aktivere alle trinnene som trengs for å bruke oppdateringen automatisk.

I stedet oppfordrer Microsoft deg til å følge en tre-trinns manuell prosess som dette:

  • TRINN 1. Hent oppdateringen slik at alle filene du trenger er installert på din lokale harddisk. Datamaskinen din vil bruke den nye oppstartskoden, men vil fortsatt godta den gamle, utnyttbare koden inntil videre. Viktigere er at dette trinnet i oppdateringen ikke automatisk ber datamaskinen din om å tilbakekalle (dvs. ikke lenger stole på) den gamle oppstartskoden ennå.
  • TRINN 2. Patch manuelt alle oppstartbare enheter (gjenopprettingsbilder) slik at de har den nye oppstartskoden på seg. Dette betyr at gjenopprettingsbildene dine vil fungere riktig med datamaskinen din selv etter at du har fullført trinn 3 nedenfor, men mens du forbereder nye gjenopprettingsdisker, vil de gamle fortsatt fungere, for sikkerhets skyld. (Vi kommer ikke til å gi trinnvise instruksjoner her fordi det er mange forskjellige varianter; konsulter Microsofts referanse i stedet.)
  • TRINN 3. Fortell datamaskinen manuelt å tilbakekalle buggy-oppstartskoden. Dette trinnet legger til en kryptografisk identifikator (en filhash) til hovedkortets fastvareblokkeringsliste for å forhindre at den gamle, buggy oppstartskoden brukes i fremtiden, og dermed forhindrer CVE-2023-24932 i å bli utnyttet igjen. Ved å utsette dette trinnet til etter trinn 2, unngår du risikoen for å bli sittende fast med en datamaskin som ikke vil starte opp og derfor ikke lenger kan brukes til å fullføre trinn 2.

Som du kan se, hvis du utfører trinn 1 og 3 sammen med en gang, men lar trinn 2 stå til senere, og noe går galt...

...ingen av de eksisterende gjenopprettingsbildene dine vil fungere lenger fordi de vil inneholde oppstartskode som allerede er blitt avvist og utestengt av din allerede fullstendig oppdaterte datamaskin.

Hvis du liker analogier, hjelper det å lagre trinn 3 til sist av alle å hindre deg i å låse nøklene inne i bilen.

Å formatere den lokale harddisken på nytt vil ikke hjelpe hvis du låser deg ute, fordi trinn 3 overfører kryptografiske hashen til den tilbakekalte oppstartskoden fra midlertidig lagring på harddisken til en "aldri stol på igjen"-liste som er låst til sikker lagring på selve hovedkortet.

Med Microsofts forståelig nok mer dramatiske og repeterende offisielle ord:

FORSIKTIG

Når begrensningen for dette problemet er aktivert på en enhet, noe som betyr at tilbakekallingene har blitt brukt, kan det ikke tilbakestilles hvis du fortsetter å bruke sikker oppstart på den enheten. Selv omformatering av disken vil ikke fjerne tilbakekallingene hvis de allerede er tatt i bruk.

Du har blitt advart!

Hvis du eller IT-teamet ditt er bekymret

Microsoft har gitt en tre-trinns tidsplan for denne spesielle oppdateringen:

  • 2023-05-09 (nå). Den fullstendige, men klønete manuelle prosessen beskrevet ovenfor kan brukes til å fullføre oppdateringen i dag. Hvis du er bekymret, kan du ganske enkelt installere oppdateringen (trinn 1 ovenfor), men ikke gjøre noe annet akkurat nå, noe som lar datamaskinen kjøre den nye oppstartskoden og derfor klar til å godta tilbakekallingen beskrevet ovenfor, men fortsatt være i stand til å starte opp med eksisterende gjenopprettingsdisker. (Merk selvfølgelig at dette lar den fortsatt utnyttes, fordi den gamle oppstartskoden fortsatt kan lastes inn.)
  • 2023-07-11 (to måneders tid). Sikrere automatiske distribusjonsverktøy er lovet. Antagelig vil alle offisielle Microsoft-installasjonsnedlastinger være lappet innen da, så selv om noe går galt, vil du ha en offisiell måte å hente et pålitelig gjenopprettingsbilde på. På dette tidspunktet antar vi at du vil være i stand til å fullføre oppdateringen trygt og enkelt, uten å krangle kommandolinjer eller hacke registeret for hånd.
  • Tidlig i 2024 (neste år). Upatchede systemer vil bli tvangsoppdatert, inkludert automatisk bruk av kryptografiske tilbakekallinger som vil forhindre at gamle gjenopprettingsmedier fungerer på datamaskinen din, og dermed forhåpentligvis stenge CVE-2023-24932-hullet permanent for alle.

Forresten, hvis datamaskinen din ikke har Secure Boot slått på, kan du ganske enkelt vente på at tre-trinnsprosessen ovenfor fullføres automatisk.

Tross alt, uten sikker oppstart, kan alle med tilgang til datamaskinen din hacke oppstartskoden uansett, gitt at det ikke er noen aktiv kryptografisk beskyttelse for å låse oppstartsprosessen.

HAR JEG SIKKER STØVEL slått PÅ?

Du kan finne ut om datamaskinen har sikker oppstart slått på ved å kjøre kommandoen MSINFO32:

Tidstempel:

Mer fra Naken sikkerhet