Remediere de zero-day Bootkit – este acest patch-ul Microsoft cel mai precaut vreodată?

Remediere de zero-day Bootkit – este acest patch-ul Microsoft cel mai precaut vreodată?

Marca temporală: 10 mai 2023, ora 7:50
Nodul sursă: 2641175
by Paul Ducklin

Actualizările de marți ale corecțiilor Microsoft din mai 2023 cuprind exact felul de amestec la care probabil te așteptai.

Dacă te duci după numere, există 38 vulnerabilități, dintre care șapte sunt considerate critice: șase în Windows în sine și unul în SharePoint.

Aparent, trei dintre cele 38 de găuri sunt zero-days, deoarece sunt deja cunoscute public și cel puțin una dintre ele a fost deja exploatată activ de infractorii cibernetici.

Din păcate, acei criminali par să includă faimoasa bandă de ransomware Black Lotus, așa că este bine să vedem un patch livrat pentru această gaură de securitate în sălbăticie, supranumit CVE-2023-24932: Vulnerabilitatea de ocolire a caracteristicii de securitate de pornire securizată.

Cu toate acestea, deși veți primi patch-ul dacă efectuați o descărcare completă a Patch Tuesday și lăsați actualizarea să se termine...

…nu va fi aplicat automat.

Pentru a activa corecțiile de securitate necesare, va trebui să citiți și să absorbiți a Postare de 500 de cuvinte Intitulat Îndrumări legate de modificările Secure Boot Manager asociate cu CVE-2023-24932.

Apoi, va trebui să lucrați printr-un referință instrucțională care ajunge la aproape 3000 de cuvinte.

Acela se numește KB5025885: Cum să gestionați revocările Windows Boot Manager pentru modificările Secure Boot asociate cu CVE-2023-24932.

Problema cu revocarea

Dacă ați urmărit acoperirea noastră recentă a Încălcarea datelor MSI, veți ști că implică chei criptografice relevante pentru securitatea firmware-ului, despre care se presupune că au fost furate de la gigantul plăcii de bază MSI de o altă bandă de ciberextortioniști care poartă numele străzii Money Message.

Veți ști, de asemenea, că comentatorii articolelor pe care le-am scris despre incidentul MSI au întrebat: „De ce MSI nu revocă imediat cheile furate, nu le mai folosește și apoi nu scoate un firmware nou semnat cu chei noi?”

După cum am explicat în contextul acelei povești, renegarea cheilor de firmware compromise pentru a bloca un posibil cod de firmware necinstiți poate provoca foarte ușor un caz prost de ceea ce este cunoscut sub numele de „legea consecințelor neintenționate”.

De exemplu, ați putea decide că primul și cel mai important pas este să-mi spuneți să nu mai am încredere în nimic care este semnat de cheia XYZ, pentru că acesta este cel care a fost compromis.

La urma urmei, revocarea cheii furate este cea mai rapidă și sigură modalitate de a o face inutilă pentru escroci și, dacă ești suficient de rapid, s-ar putea chiar să schimbi încuietoarea înainte ca aceștia să aibă șansa de a încerca cheia.

Dar poți vedea unde se duce asta.

Dacă computerul meu revocă cheia furată pentru a primi o cheie nouă și un firmware actualizat, dar computerul meu repornește (în mod accidental sau altfel) la momentul greșit...

…atunci firmware-ul pe care îl am deja nu va mai fi de încredere și nu voi putea să pornesc – nu de pe hard disk, nu de pe USB, nu de rețea, probabil deloc, pentru că nu voi obține până la punctul din codul firmware-ului în care aș putea încărca orice de pe un dispozitiv extern.

O abundență de prudență

În cazul Microsoft CVE-2023-24932, problema nu este chiar atât de gravă, deoarece patch-ul complet nu invalidează firmware-ul existent pe placa de bază în sine.

Patch-ul complet implică actualizarea codului de pornire Microsoft în partiția de pornire a hard disk-ului și apoi spuneți plăcii de bază să nu mai aibă încredere în vechiul cod de pornire nesigur.

În teorie, dacă ceva nu merge bine, ar trebui să vă puteți recupera de la o eroare de pornire a sistemului de operare pur și simplu pornind de pe un disc de recuperare pe care l-ați pregătit mai devreme.

Cu excepția faptului că niciunul dintre discurile dvs. de recuperare existente nu va fi de încredere de computerul dvs. în acel moment, presupunând că acestea includ componente de pornire care au fost acum revocate și, prin urmare, nu vor fi acceptate de computerul dvs.

Din nou, probabil că vă puteți recupera datele, dacă nu întreaga instalare a sistemului de operare, utilizând un computer care a fost complet corelat pentru a crea o imagine de recuperare complet actualizată cu noul cod de pornire pe el, presupunând că aveți un computer de rezervă la îndemână pentru a face asta.

Sau puteți descărca o imagine de instalare Microsoft care a fost deja actualizată, presupunând că aveți o modalitate de a prelua descărcarea și presupunând că Microsoft are o imagine nouă disponibilă care se potrivește hardware-ului și sistemului dvs. de operare.

(Ca experiment, tocmai am preluat [2023-05-09:23:55:00Z] cel mai recent Windows 11 Enterprise Evaluation pe 64 de biți Imagine ISO, care poate fi folosită atât pentru recuperare, cât și pentru instalare, dar nu a fost actualizată recent.)

Și chiar dacă dvs. sau departamentul dvs. IT aveți timpul și echipamentul de rezervă pentru a crea imagini de recuperare retroactiv, va fi totuși o bătaie de cap de care v-ați putea face fără, mai ales dacă lucrați de acasă și zeci de alți oameni din compania dvs. au fost blocați în același timp și trebuie să li se trimită noi medii de recuperare.

Descărcați, pregătiți, revocați

Așadar, Microsoft a integrat materiile prime de care aveți nevoie pentru acest patch în fișierele pe care le veți obține când descărcați actualizarea de marți a patch-ului din mai 2023, dar a decis în mod destul de deliberat să nu activeze toți pașii necesari pentru a aplica automat patch-ul.

În schimb, Microsoft vă îndeamnă să urmați un proces manual în trei pași ca acesta:

  • PASUL 1. Preluați actualizarea, astfel încât toate fișierele de care aveți nevoie să fie instalate pe hard disk-ul local. Computerul dvs. va folosi noul cod de pornire, dar va accepta în continuare codul vechi, exploatabil, pentru moment. Important este că acest pas al actualizării nu spune automat computerului să revoce (adică să nu mai aibă încredere) încă în vechiul cod de pornire.
  • PASUL 2. Corectați manual toate dispozitivele de pornire (imagini de recuperare) astfel încât acestea să aibă noul cod de pornire pe ele. Aceasta înseamnă că imaginile dvs. de recuperare vor funcționa corect cu computerul dvs. chiar și după ce finalizați pasul 3 de mai jos, dar în timp ce pregătiți noi discuri de recuperare, cele vechi vor funcționa în continuare, pentru orice eventualitate. (Nu vom da instrucțiuni pas cu pas aici, deoarece există multe variante diferite; consultați Referința Microsoft in schimb.)
  • PASUL 3. Spuneți manual computerului să revoce codul de pornire cu erori. Acest pas adaugă un identificator criptografic (un hash de fișier) la lista de blocare a firmware-ului plăcii de bază pentru a preveni utilizarea vechiului cod de pornire cu erori în viitor, împiedicând astfel exploatarea CVE-2023-24932 din nou. Amânând acest pas până după pasul 2, evitați riscul de a rămâne blocat cu un computer care nu pornește și, prin urmare, nu mai poate fi folosit pentru a finaliza pasul 2.

După cum puteți vedea, dacă efectuați imediat pașii 1 și 3 împreună, dar lăsați pasul 2 pentru mai târziu și ceva nu merge bine...

…niciuna dintre imaginile de recuperare existente nu va mai funcționa, deoarece vor conține cod de pornire care a fost deja respins și interzis de computerul dvs. deja complet actualizat.

Dacă vă plac analogiile, salvarea pasului 3 până la sfârșit vă ajută să vă împiedicați să vă încuiați cheile în interiorul mașinii.

Reformatarea hard diskului local nu va ajuta dacă vă blocați, deoarece pasul 3 transferă hashurile criptografice ale codului de pornire revocat din stocarea temporară de pe hard disk într-o listă „Nu mai aveți încredere” care este blocată în stocarea securizată pe placa de baza in sine.

În cuvintele oficiale ale Microsoft înțeles mai dramatice și repetitive:

ATENȚIE

Odată ce atenuarea acestei probleme este activată pe un dispozitiv, ceea ce înseamnă că revocările au fost aplicate, nu poate fi anulată dacă continuați să utilizați Secure Boot pe acel dispozitiv. Nici măcar reformatarea discului nu va elimina revocările dacă acestea au fost deja aplicate.

Ai fost avertizat!

Dacă dumneavoastră sau echipa dumneavoastră IT sunteți îngrijorat

Microsoft a oferit un program în trei etape pentru această actualizare specială:

  • 2023-05-09 (acum). Procesul manual complet, dar neîndemânatic descris mai sus poate fi folosit pentru a finaliza patch-ul astăzi. Dacă sunteți îngrijorat, puteți pur și simplu să instalați patch-ul (pasul 1 de mai sus), dar nu faceți nimic altceva chiar acum, ceea ce lasă computerul rulând noul cod de pornire și, prin urmare, gata să accepte revocarea descrisă mai sus, dar încă poate să pornească cu dvs. discuri de recuperare existente. (Rețineți, desigur, că acest lucru îl lasă încă exploatabil, deoarece vechiul cod de pornire poate fi încă încărcat.)
  • 2023-07-11 (două luni). Sunt promise instrumente de implementare automată mai sigure. Probabil că toate descărcările oficiale de instalare Microsoft vor fi corectate până atunci, așa că, chiar dacă ceva nu merge bine, veți avea o modalitate oficială de a obține o imagine de recuperare fiabilă. În acest moment, presupunem că veți putea finaliza patch-ul în siguranță și cu ușurință, fără să vă frământați liniile de comandă sau să piratați manual registrul.
  • La începutul anului 2024 (anul viitor). Sistemele necorecte vor fi actualizate forțat, inclusiv aplicarea automată a revocărilor criptografice care vor împiedica mediile vechi de recuperare să funcționeze pe computerul dvs., închizând astfel, cu speranță, orificiul CVE-2023-24932 definitiv pentru toată lumea.

Apropo, dacă computerul dvs. nu are Secure Boot activat, atunci puteți pur și simplu să așteptați ca procesul în trei etape de mai sus să fie finalizat automat.

La urma urmei, fără Secure Boot, oricine are acces la computerul tău ar putea oricum să pirateze codul de pornire, având în vedere că nu există protecție criptografică activă pentru a bloca procesul de pornire.

AM PORNIT SECURAT BOOT?

Puteți afla dacă computerul dvs. are Secure Boot activat executând comanda MSINFO32:

Timestamp-ul:

Mai mult de la Securitate goală