Bootkit zero-day fix – czy to najbardziej ostrożna łatka w historii Microsoftu?

Bootkit zero-day fix – czy to najbardziej ostrożna łatka w historii Microsoftu?

Znacznik czasu: 10 maja 2023 r. 7:50
Węzeł źródłowy: 2641175
by Paweł Kaczor

Wtorkowe aktualizacje Microsoftu z maja 2023 r. zawierają dokładnie taką mieszankę, jakiej prawdopodobnie się spodziewałeś.

Jeśli pójdziesz według liczb, są 38 podatności, z których siedem uważa się za krytyczne: sześć w samym systemie Windows i jeden w programie SharePoint.

Najwyraźniej trzy z 38 dziur to luki zero-day, ponieważ są już publicznie znane, a przynajmniej jedna z nich była już aktywnie wykorzystywana przez cyberprzestępców.

Niestety, wydaje się, że wśród tych przestępców jest osławiony gang ransomware Black Lotus, więc dobrze jest zobaczyć łatkę dostarczoną dla tę dziką lukę w zabezpieczeniach, nazwany CVE-2023-24932: Funkcja zabezpieczeń bezpiecznego rozruchu umożliwiająca obejście luki w zabezpieczeniach.

Jednak chociaż otrzymasz łatkę, jeśli wykonasz pełne pobranie Patch Tuesday i pozwolisz, aby aktualizacja się zakończyła…

…nie zostanie automatycznie zastosowany.

Aby aktywować niezbędne poprawki bezpieczeństwa, musisz przeczytać i wchłonąć Post na 500 XNUMX słów prawo Wskazówki dotyczące zmian w Menedżerze bezpiecznego rozruchu związanych z luką CVE-2023-24932.

Następnie będziesz musiał przejść przez odniesienie instruktażowe który obejmuje prawie 3000 słów.

Ten się nazywa KB5025885: Jak zarządzać odwołaniami Menedżera rozruchu systemu Windows dla zmian bezpiecznego rozruchu związanych z luką CVE-2023-24932.

Kłopot z odwołaniem

Jeśli śledziłeś nasze ostatnie relacje z Naruszenie danych MSI, będziesz wiedział, że dotyczy to kluczy kryptograficznych związanych z bezpieczeństwem oprogramowania układowego, które rzekomo zostały skradzione gigantowi płyt głównych MSI przez inny gang cyberprzestępców działających pod nazwą Money Message.

Dowiesz się również, że komentatorzy artykułów, które napisaliśmy o incydencie z MSI, pytali: „Dlaczego MSI natychmiast nie unieważni skradzionych kluczy, przestanie ich używać, a następnie wypchnie nowe oprogramowanie układowe podpisane nowymi kluczami?”

Jak wyjaśniliśmy w kontekście tej historii, wyrzeczenie się skompromitowanych kluczy oprogramowania układowego w celu zablokowania możliwego nieuczciwego kodu oprogramowania układowego może bardzo łatwo wywołać zły przypadek tak zwanego „prawa niezamierzonych konsekwencji”.

Na przykład możesz zdecydować, że pierwszym i najważniejszym krokiem jest poinformowanie mnie, abym już nie ufał niczemu, co jest podpisane kluczem XYZ, ponieważ to właśnie zostało naruszone.

W końcu unieważnienie skradzionego klucza jest najszybszym i najpewniejszym sposobem uczynienia go bezużytecznym dla oszustów, a jeśli jesteś wystarczająco szybki, możesz nawet zmienić zamek, zanim będą mieli szansę wypróbować klucz.

Ale możesz zobaczyć, dokąd to zmierza.

Jeśli mój komputer anuluje skradziony klucz w ramach przygotowań do otrzymania nowego klucza i zaktualizowanego oprogramowania układowego, ale mój komputer uruchomi się ponownie (przypadkowo lub w inny sposób) w niewłaściwym momencie…

…wtedy oprogramowanie, które już mam, nie będzie już zaufane i nie będę mógł uruchomić – ani z dysku twardego, ani z USB, ani z sieci, prawdopodobnie wcale, bo nie dostanę aż do punktu w kodzie oprogramowania układowego, w którym mogłem załadować wszystko z urządzenia zewnętrznego.

Mnóstwo ostrożności

W przypadku Microsoftu CVE-2023-24932 problem nie jest tak poważny, ponieważ pełna łatka nie unieważnia istniejącego oprogramowania układowego na samej płycie głównej.

Pełna łatka obejmuje aktualizację kodu rozruchowego Microsoftu na partycji startowej dysku twardego, a następnie poinformowanie płyty głównej, aby nie ufała już staremu, niezabezpieczonemu kodowi rozruchowemu.

Teoretycznie, jeśli coś pójdzie nie tak, nadal powinno być możliwe odzyskanie sprawności po awarii rozruchu systemu operacyjnego, po prostu uruchamiając system z przygotowanego wcześniej dysku do odzyskiwania.

Tyle że żaden z istniejących dysków odzyskiwania nie będzie w tym momencie zaufany przez komputer, zakładając, że zawierają one komponenty czasu rozruchu, które zostały teraz odwołane i dlatego nie będą akceptowane przez komputer.

Ponownie, prawdopodobnie nadal możesz odzyskać swoje dane, jeśli nie całą instalację systemu operacyjnego, używając komputera, który został w pełni załatany, aby utworzyć w pełni aktualny obraz odzyskiwania z nowym kodem rozruchowym, zakładając, że masz zapasowy komputer przydatny do tego.

Lub możesz pobrać obraz instalacyjny Microsoft, który został już zaktualizowany, zakładając, że masz jakiś sposób na pobranie i zakładając, że Microsoft ma dostępny nowy obraz, który pasuje do twojego sprzętu i systemu operacyjnego.

(W ramach eksperymentu właśnie pobraliśmy [2023-05-09:23:55:00Z] najnowszą Wersja ewaluacyjna systemu Windows 11 Enterprise w wersji 64-bitowej Obraz ISO, którego można użyć zarówno do odzyskiwania, jak i instalacji, ale nie był ostatnio aktualizowany.)

A nawet jeśli Ty lub Twój dział IT macie czas i zapasowy sprzęt do retrospektywnego tworzenia obrazów odzyskiwania, nadal będzie to czasochłonny problem, bez którego wszyscy moglibyście się obejść, zwłaszcza jeśli pracujecie z domu i dziesiątki inne osoby w Twojej firmie zostały w tym samym czasie unieruchomione i trzeba im wysłać nowe nośniki odzyskiwania.

Pobierz, przygotuj, odwołaj

Tak więc Microsoft wbudował surowce potrzebne do tej łatki w pliki, które otrzymasz po pobraniu aktualizacji z wtorku aktualizacji z maja 2023 r., ale całkiem celowo zdecydował się nie aktywować wszystkich kroków potrzebnych do automatycznego zastosowania łatki.

Zamiast tego Microsoft nalega, abyś wykonał trzyetapowy ręczny proces, taki jak ten:

  • KROK 1. Pobierz aktualizację, aby wszystkie potrzebne pliki zostały zainstalowane na lokalnym dysku twardym. Twój komputer będzie używał nowego kodu rozruchowego, ale na razie będzie nadal akceptował stary kod, który można wykorzystać. Co ważne, ten krok aktualizacji nie każe komputerowi automatycznie odwołać (tj. przestać ufać) staremu kodowi startowemu.
  • KROK 2. Ręcznie zaktualizuj wszystkie urządzenia startowe (obrazy odzyskiwania), aby miały na sobie nowy kod rozruchowy. Oznacza to, że obrazy odzyskiwania będą działały poprawnie na komputerze nawet po wykonaniu kroku 3 poniżej, ale podczas przygotowywania nowych dysków odzyskiwania stare będą nadal działać, tak na wszelki wypadek. (Nie będziemy tutaj podawać instrukcji krok po kroku, ponieważ istnieje wiele różnych wariantów; skonsultuj się Referencja Microsoftu zamiast.)
  • KROK 3. Ręcznie nakaż komputerowi odwołanie błędnego kodu startowego. Ten krok dodaje identyfikator kryptograficzny (skrót pliku) do listy zablokowanych oprogramowania układowego płyty głównej, aby zapobiec używaniu starego, błędnego kodu startowego w przyszłości, zapobiegając w ten sposób ponownemu wykorzystaniu luki CVE-2023-24932. Opóźniając ten krok do momentu zakończenia kroku 2, unikasz ryzyka utknięcia z komputerem, który nie chce się uruchomić i dlatego nie można go już użyć do ukończenia kroku 2.

Jak widzisz, jeśli od razu wykonasz kroki 1 i 3 razem, ale odłożysz krok 2 na później i coś pójdzie nie tak…

…żaden z istniejących obrazów odzyskiwania nie będzie już działał, ponieważ będzie zawierał kod rozruchowy, który został już odrzucony i zablokowany przez Twój już w pełni zaktualizowany komputer.

Jeśli lubisz analogie, zapisanie kroku 3 na sam koniec pomaga uniknąć zatrzaśnięcia kluczyków w samochodzie.

Ponowne sformatowanie lokalnego dysku twardego nie pomoże, jeśli się zablokujesz, ponieważ krok 3 przenosi kryptograficzne skróty unieważnionego kodu rozruchowego z tymczasowego magazynu na dysku twardym na listę „nigdy więcej nie ufaj”, która jest zablokowana w bezpiecznym magazynie na sama płyta główna.

W zrozumiałych, bardziej dramatycznych i powtarzających się oficjalnych słowach Microsoftu:

UWAGA

Po włączeniu rozwiązania tego problemu na urządzeniu, co oznacza odwołanie, nie można go cofnąć, jeśli nadal będziesz korzystać z Bezpiecznego rozruchu na tym urządzeniu. Nawet ponowne sformatowanie dysku nie usunie odwołań, jeśli zostały już zastosowane.

Zostałeś ostrzeżony!

Jeśli martwisz się Ty lub Twój zespół IT

Firma Microsoft udostępniła trzyetapowy harmonogram tej konkretnej aktualizacji:

  • 2023-05-09 (teraz). Pełen, ale niezdarny ręczny proces opisany powyżej może być wykorzystany do ukończenia łatki już dziś. Jeśli się martwisz, możesz po prostu zainstalować poprawkę (krok 1 powyżej), nie robiąc teraz nic więcej, dzięki czemu Twój komputer będzie działał z nowym kodem startowym i będzie gotowy do zaakceptowania odwołania opisanego powyżej, ale nadal będzie mógł uruchomić się z istniejące dyski odzyskiwania. (Zauważ, oczywiście, że nadal można go wykorzystać, ponieważ nadal można załadować stary kod startowy).
  • 2023-07-11 (dwa miesiące). Obiecane są narzędzia do automatycznego wdrażania Safter. Przypuszczalnie wszystkie oficjalne pliki instalacyjne firmy Microsoft zostaną do tego czasu załatane, więc nawet jeśli coś pójdzie nie tak, będziesz mieć oficjalny sposób na pobranie niezawodnego obrazu odzyskiwania. W tym momencie zakładamy, że będziesz w stanie bezpiecznie i łatwo ukończyć poprawkę, bez kłócenia się z wierszami poleceń lub ręcznego hakowania rejestru.
  • Na początku 2024 roku (w przyszłym roku). Niezałatane systemy zostaną przymusowo zaktualizowane, w tym automatycznie zastosowane odwołania kryptograficzne, które uniemożliwią działanie starych nośników odzyskiwania na komputerze, co, miejmy nadzieję, trwale zamknie dziurę CVE-2023-24932 dla wszystkich.

Nawiasem mówiąc, jeśli Twój komputer nie ma włączonej funkcji Bezpiecznego rozruchu, możesz po prostu poczekać, aż trzyetapowy proces zakończy się automatycznie.

W końcu bez Bezpiecznego rozruchu każdy, kto ma dostęp do twojego komputera, i tak mógłby zhakować kod rozruchowy, biorąc pod uwagę, że nie ma aktywnej ochrony kryptograficznej, która blokowałaby proces uruchamiania.

CZY BEZPIECZNY ROZRUCH JEST WŁĄCZONY?

Możesz dowiedzieć się, czy Twój komputer ma włączony Bezpieczny rozruch, uruchamiając polecenie MSINFO32:

Znak czasu:

Więcej z Nagie bezpieczeństwo