Correção zero-day do Bootkit – este é o patch mais cauteloso da Microsoft?

Correção zero-day do Bootkit – este é o patch mais cauteloso da Microsoft?

Carimbo de data / hora: 10 de maio de 2023 7:50
Nó Fonte: 2641175
by Paul Ducklin

As atualizações do Patch Tuesday de maio de 2023 da Microsoft incluem exatamente o tipo de mistura que você provavelmente esperava.

Se você for por números, existem 38 vulnerabilidades, dos quais sete são considerados críticos: seis no próprio Windows e um no SharePoint.

Aparentemente, três dos 38 buracos são de dia zero, porque já são conhecidos publicamente e pelo menos um deles já foi explorado ativamente por cibercriminosos.

Infelizmente, esses criminosos parecem incluir a notória gangue de ransomware Black Lotus, então é bom ver um patch entregue para esta falha de segurança selvagem, apelidado CVE-2023-24932: Vulnerabilidade de desvio do recurso de segurança de inicialização segura.

No entanto, embora você obtenha o patch se fizer um download completo do Patch Tuesday e deixar a atualização ser concluída…

…não será aplicado automaticamente.

Para ativar as correções de segurança necessárias, você precisará ler e absorver um Postagem de 500 palavras intitulado Orientação relacionada às alterações do Secure Boot Manager associadas ao CVE-2023-24932.

Então, você precisará trabalhar através de um referência instrucional que corre para quase 3000 palavras.

Aquele se chama KB5025885: Como gerenciar as revogações do Windows Boot Manager para alterações de inicialização segura associadas ao CVE-2023-24932.

O problema com a revogação

Se você acompanhou nossa cobertura recente do violação de dados MSI, você saberá que envolve chaves criptográficas relevantes para a segurança do firmware que foram supostamente roubadas da gigante das placas-mãe MSI por uma gangue diferente de extorsionários cibernéticos que atendem pelo nome de rua Money Message.

Você também saberá que os comentaristas dos artigos que escrevemos sobre o incidente do MSI perguntaram: “Por que a MSI não revoga imediatamente as chaves roubadas, para de usá-las e, em seguida, envia um novo firmware assinado com novas chaves?”

Como explicamos no contexto dessa história, rejeitar chaves de firmware comprometidas para bloquear possíveis códigos de firmware não autorizados pode facilmente provocar um caso grave do que é conhecido como “a lei das consequências não intencionais”.

Por exemplo, você pode decidir que a primeira e mais importante etapa é me dizer para não confiar mais em nada assinado pela chave XYZ, porque foi ela que foi comprometida.

Afinal, revogar a chave roubada é a maneira mais rápida e segura de torná-la inútil para os bandidos e, se você for rápido o suficiente, poderá até trocar a fechadura antes que eles tenham a chance de tentar a chave.

Mas você pode ver onde isso está indo.

Se meu computador revogar a chave roubada em preparação para receber uma nova chave e firmware atualizado, mas meu computador reiniciar (acidentalmente ou não) no momento errado…

…então o firmware que eu já tenho não será mais confiável e não poderei inicializar - nem do disco rígido, nem do USB, nem da rede, provavelmente nem um pouco, porque não conseguirei até o ponto no código do firmware onde eu poderia carregar qualquer coisa de um dispositivo externo.

Muita cautela

No caso CVE-2023-24932 da Microsoft, o problema não é tão grave assim, porque o patch completo não invalida o firmware existente na própria placa-mãe.

O patch completo envolve atualizar o código de inicialização da Microsoft na partição de inicialização do seu disco rígido e, em seguida, dizer à sua placa-mãe para não confiar mais no antigo e inseguro código de inicialização.

Em teoria, se algo der errado, você ainda poderá se recuperar de uma falha de inicialização do sistema operacional simplesmente iniciando a partir de um disco de recuperação que você preparou anteriormente.

Exceto que nenhum dos seus discos de recuperação existentes será confiável para o seu computador nesse ponto, supondo que eles incluam componentes de inicialização que foram revogados e, portanto, não serão aceitos pelo seu computador.

Novamente, você provavelmente ainda pode recuperar seus dados, se não toda a instalação do sistema operacional, usando um computador que foi totalmente corrigido para criar uma imagem de recuperação totalmente atualizada com o novo código de inicialização, supondo que você tenha um computador sobressalente útil para fazer isso.

Ou você pode baixar uma imagem de instalação da Microsoft que já foi atualizada, supondo que você tenha alguma maneira de obter o download e supondo que a Microsoft tenha uma nova imagem disponível que corresponda ao seu hardware e sistema operacional.

(Como experiência, acabamos de obter [2023-05-09:23:55:00Z] o último Avaliação do Windows 11 Enterprise 64 bits Imagem ISO, que pode ser usada para recuperação e instalação, mas não foi atualizada recentemente.)

E mesmo que você ou seu departamento de TI tenham tempo e equipamentos sobressalentes para criar imagens de recuperação retrospectivamente, ainda será um aborrecimento demorado que todos vocês poderiam dispensar, especialmente se estiver trabalhando em casa e dezenas de outras pessoas em sua empresa foram bloqueadas ao mesmo tempo e precisam receber uma nova mídia de recuperação.

Baixar, preparar, revogar

Portanto, a Microsoft criou as matérias-primas necessárias para este patch nos arquivos que você obterá ao baixar a atualização do Patch Tuesday de maio de 2023, mas decidiu deliberadamente não ativar todas as etapas necessárias para aplicar o patch automaticamente.

Em vez disso, a Microsoft recomenda que você siga um processo manual de três etapas como este:

  • STEP 1. Obtenha a atualização para que todos os arquivos necessários sejam instalados no disco rígido local. Seu computador usará o novo código de inicialização, mas ainda aceitará o antigo código explorável por enquanto. É importante ressaltar que esta etapa da atualização não diz automaticamente ao seu computador para revogar (ou seja, não confiar mais) no antigo código de inicialização.
  • STEP 2. Corrija manualmente todos os seus dispositivos inicializáveis ​​(imagens de recuperação) para que tenham o novo código de inicialização neles. Isso significa que suas imagens de recuperação funcionarão corretamente com seu computador mesmo depois de concluir a etapa 3 abaixo, mas enquanto você estiver preparando novos discos de recuperação, os antigos ainda funcionarão, por precaução. (Não daremos instruções passo a passo aqui porque existem muitas variantes diferentes; consulte Referência da Microsoft em vez de.)
  • STEP 3. Diga manualmente ao seu computador para revogar o código de inicialização com erros. Esta etapa adiciona um identificador criptográfico (um hash de arquivo) à lista de bloqueio de firmware da sua placa-mãe para evitar que o antigo código de inicialização com erros seja usado no futuro, evitando assim que o CVE-2023-24932 seja explorado novamente. Ao adiar esta etapa para depois da etapa 2, você evita o risco de ficar preso em um computador que não inicializa e, portanto, não pode mais ser usado para concluir a etapa 2.

Como você pode ver, se você executar as etapas 1 e 3 juntas imediatamente, mas deixar a etapa 2 para mais tarde, algo dará errado…

…nenhuma de suas imagens de recuperação existentes funcionará mais porque elas conterão código de inicialização que já foi rejeitado e banido por seu computador já totalmente atualizado.

Se você gosta de analogias, salvar a etapa 3 até o final ajuda a evitar que você tranque as chaves dentro do carro.

Reformatar seu disco rígido local não ajudará se você se bloquear, porque a etapa 3 transfere os hashes criptográficos do código de inicialização revogado do armazenamento temporário em seu disco rígido para uma lista “nunca confie novamente” que está bloqueada no armazenamento seguro no própria placa-mãe.

Nas palavras oficiais compreensivelmente mais dramáticas e repetitivas da Microsoft:

CUIDADO

Depois que a mitigação desse problema é habilitada em um dispositivo, o que significa que as revogações foram aplicadas, ela não pode ser revertida se você continuar usando o Secure Boot nesse dispositivo. Mesmo a reformatação do disco não removerá as revogações se elas já tiverem sido aplicadas.

Você foi avisado!

Se você ou sua equipe de TI estão preocupados

A Microsoft forneceu um cronograma de três estágios para esta atualização específica:

  • 2023-05-09 (agora). O processo manual completo, mas desajeitado, descrito acima, pode ser usado para concluir o patch hoje. Se estiver preocupado, você pode simplesmente instalar o patch (etapa 1 acima), mas não fazer mais nada agora, o que deixa seu computador executando o novo código de inicialização e, portanto, pronto para aceitar a revogação descrita acima, mas ainda capaz de inicializar com seu discos de recuperação existentes. (Observe, é claro, que isso ainda o deixa explorável, porque o antigo código de inicialização ainda pode ser carregado.)
  • 2023/07/11 (dois meses). São prometidas ferramentas de implantação automática Safter. Presumivelmente, todos os downloads oficiais de instalação da Microsoft serão corrigidos até então, portanto, mesmo que algo dê errado, você terá uma maneira oficial de obter uma imagem de recuperação confiável. Neste ponto, presumimos que você será capaz de concluir o patch com segurança e facilidade, sem alterar as linhas de comando ou hackear o registro manualmente.
  • No início de 2024 (ano que vem). Os sistemas não corrigidos serão atualizados à força, incluindo a aplicação automática de revogações criptográficas que impedirão que a mídia de recuperação antiga funcione em seu computador, fechando assim o buraco CVE-2023-24932 permanentemente para todos.

A propósito, se o seu computador não tiver o Secure Boot ativado, basta aguardar que o processo de três estágios acima seja concluído automaticamente.

Afinal, sem o Secure Boot, qualquer pessoa com acesso ao seu computador poderia hackear o código de inicialização de qualquer maneira, já que não há proteção criptográfica ativa para bloquear o processo de inicialização.

EU TENHO A INICIAÇÃO SEGURA ATIVADA?

Você pode descobrir se o seu computador está com o Secure Boot ativado executando o comando MSINFO32:

Carimbo de hora:

Mais de Segurança nua