Буткит исправление нулевого дня — это самый осторожный патч Microsoft за всю историю?

Буткит исправление нулевого дня — это самый осторожный патч Microsoft за всю историю?

Отметка времени: 10 мая 2023 г., 7:50
Исходный узел: 2641175
by Пол Даклин

Обновления Microsoft за май 2023 года во вторник содержат именно ту смесь, которую вы, вероятно, ожидали.

Если идти по номерам, то есть 38 уязвимостей, из которых семь считаются критическими: шесть в самой Windows и одна в SharePoint.

Судя по всему, три из 38 дыр являются нулевыми днями, потому что они уже общеизвестны, и по крайней мере одна из них уже активно эксплуатируется киберпреступниками.

К сожалению, в число этих преступников, по-видимому, входит печально известная банда вымогателей Black Lotus, поэтому приятно видеть, что патч, доставленный для эта дикая дыра в безопасностидублированный CVE-2023-24932: Функция безопасности безопасной загрузки Обход уязвимости.

Однако, несмотря на то, что вы получите исправление, если выполните полную загрузку исправлений во вторник и дождитесь завершения обновления…

… он не будет применяться автоматически.

Чтобы активировать необходимые исправления безопасности, вам нужно прочитать и усвоить Сообщение на 500 XNUMX слов озаглавленный Руководство по изменениям Secure Boot Manager, связанным с CVE-2023-24932.

Затем вам нужно будет проработать учебная ссылка это достигает почти 3000 слов.

Тот называется KB5025885: как управлять отзывами диспетчера загрузки Windows для изменений безопасной загрузки, связанных с CVE-2023-24932..

Проблема с отзывом

Если вы следили за нашим недавним освещением Утечка данных MSI, вы знаете, что речь идет о криптографических ключах, имеющих отношение к безопасности встроенного ПО, которые якобы были украдены у гиганта материнских плат MSI другой бандой кибервымогателей под уличным названием Money Message.

Вы также знаете, что комментаторы статей, которые мы написали об инциденте с MSI, спрашивали: «Почему бы MSI сразу не отозвать украденные ключи, не прекратить их использование, а затем выпустить новую прошивку, подписанную новыми ключами?»

Как мы объясняли в контексте этой истории, отказ от скомпрометированных ключей встроенного ПО для блокировки возможного мошеннического кода встроенного ПО может очень легко спровоцировать неприятный случай, известный как «закон непредвиденных последствий».

Например, вы можете решить, что первым и самым важным шагом будет сказать мне больше не доверять ничему, что подписано ключом XYZ, потому что это то, что было скомпрометировано.

В конце концов, отозвать украденный ключ — это самый быстрый и надежный способ сделать его бесполезным для мошенников, и если вы достаточно быстры, вы можете даже сменить замок, прежде чем они вообще успеют попробовать ключ.

Но вы можете видеть, к чему это идет.

Если мой компьютер отзывает украденный ключ, готовясь к получению нового ключа и обновленной прошивки, но мой компьютер перезагружается (случайно или по другой причине) в неподходящий момент…

…тогда той прошивке, которая у меня уже есть, больше нельзя будет доверять, и я не смогу загрузиться – ни с жесткого диска, ни с USB, ни с сети, наверное, вообще, потому что я не получу насколько пункт в коде прошивки, где я мог загрузить что-нибудь с внешнего устройства.

Изобилие осторожности

В случае Microsoft CVE-2023-24932 проблема не столь серьезна, потому что полное исправление не делает недействительной существующую прошивку на самой материнской плате.

Полный патч включает в себя обновление загрузочного кода Microsoft в загрузочном разделе вашего жесткого диска, а затем указание вашей материнской плате больше не доверять старому, небезопасному загрузочному коду.

Теоретически, если что-то пойдет не так, вы все равно сможете восстановиться после сбоя загрузки операционной системы, просто загрузившись с подготовленного ранее диска восстановления.

За исключением того, что ни один из ваших существующих дисков восстановления не будет считаться доверенным для вашего компьютера в этот момент, если предположить, что они включают компоненты времени загрузки, которые теперь отозваны и, следовательно, не будут приняты вашим компьютером.

Опять же, вы все еще, вероятно, можете восстановить свои данные, если не всю установку операционной системы, используя компьютер, который был полностью исправлен, чтобы создать полностью обновленный образ восстановления с новым кодом загрузки на нем, при условии, что у вас есть запасной компьютер, удобный для этого.

Или вы можете загрузить уже обновленный установочный образ Microsoft, предполагая, что у вас есть какой-то способ получить загрузку, и предполагая, что у Microsoft есть свежий доступный образ, который соответствует вашему оборудованию и операционной системе.

(В качестве эксперимента мы только что получили [2023-05-09:23:55:00Z] последнюю Ознакомительная версия Windows 11 Корпоративная, 64-разрядная версия ISO-образ, который можно использовать как для восстановления, так и для установки, но он недавно не обновлялся.)

И даже если у вас или вашего ИТ-отдела есть время и запасное оборудование для ретроспективного создания образов восстановления, это все равно будет трудоемкой задачей, без которой вы могли бы обойтись, особенно если вы работаете из дома и в десятках офисов. другие люди в вашей компании одновременно оказались в тупике, и им необходимо отправить новые носители для восстановления.

Скачать, подготовить, отозвать

Таким образом, Microsoft встроила исходные материалы, необходимые для этого исправления, в файлы, которые вы получите, загрузив обновление «Вторник исправлений» за май 2023 года, но совершенно сознательно решила не активировать все шаги, необходимые для автоматического применения исправления.

Вместо этого Microsoft призывает вас выполнить трехэтапный ручной процесс, подобный этому:

  • ШАГ 1. Загрузите обновление, чтобы все необходимые файлы были установлены на локальном жестком диске. Ваш компьютер будет использовать новый загрузочный код, но пока будет принимать старый код, пригодный для эксплуатации. Важно отметить, что этот шаг обновления еще не говорит вашему компьютеру автоматически отозвать (т. е. больше не доверять) старому загрузочному коду.
  • ШАГ 2. Вручную исправьте все ваши загрузочные устройства (образы восстановления), чтобы на них был новый загрузочный код. Это означает, что ваши образы для восстановления будут правильно работать с вашим компьютером даже после выполнения описанного ниже шага 3, но пока вы готовите новые диски для восстановления, ваши старые, на всякий случай, по-прежнему будут работать. (Мы не будем давать здесь пошаговые инструкции, потому что существует множество различных вариантов; обратитесь к ссылка на Microsoft вместо.)
  • ШАГ 3. Вручную сообщите компьютеру, чтобы он отозвал ошибочный загрузочный код. Этот шаг добавляет криптографический идентификатор (хэш файла) в черный список встроенного ПО вашей материнской платы, чтобы предотвратить использование старого кода загрузки с ошибками в будущем, что предотвратит повторное использование CVE-2023-24932. Откладывая этот шаг до шага 2, вы избегаете риска застрять на компьютере, который не загружается и, следовательно, больше не может использоваться для выполнения шага 2.

Как видите, если сразу выполнить шаги 1 и 3 вместе, а шаг 2 оставить на потом, и что-то пойдет не так…

…ни один из ваших существующих образов восстановления больше не будет работать, потому что они будут содержать загрузочный код, от которого уже отказались и который был заблокирован вашим уже полностью обновленным компьютером.

Если вам нравятся аналогии, отложите шаг 3 до последнего, чтобы не запереть ключи в машине.

Переформатирование вашего локального жесткого диска не поможет, если вы заблокируете себя, потому что шаг 3 переносит криптографические хэши отозванного кода загрузки из временного хранилища на вашем жестком диске в список «никогда больше не доверять», который заблокирован в безопасном хранилище на сама материнская плата.

По понятным причинам более драматичные и повторяющиеся официальные слова Microsoft:

ВНИМАНИЕ!

После включения средства устранения этой проблемы на устройстве, что означает, что отзыв был применен, его нельзя будет отменить, если вы продолжите использовать безопасную загрузку на этом устройстве. Даже переформатирование диска не удалит отзыв, если он уже был применен.

Вы были предупреждены!

Если вы или ваша ИТ-команда обеспокоены

Microsoft предоставила трехэтапный график для этого конкретного обновления:

  • 2023 (сейчас). Полный, но неуклюжий ручной процесс, описанный выше, может быть использован для завершения патча сегодня. Если вы беспокоитесь, вы можете просто установить исправление (шаг 1 выше), но не делать ничего другого прямо сейчас, в результате чего ваш компьютер будет работать с новым загрузочным кодом и, следовательно, будет готов принять отзыв, описанный выше, но по-прежнему сможет загружаться с вашим существующие диски восстановления. (Обратите внимание, конечно, что это оставляет его все еще пригодным для использования, потому что старый загрузочный код все еще может быть загружен.)
  • 2023 (через два месяца). Обещаны средства автоматического развертывания Safter. Предположительно, к тому времени все официальные установочные файлы Microsoft будут исправлены, поэтому, даже если что-то пойдет не так, у вас будет официальный способ получить надежный образ для восстановления. На данный момент мы предполагаем, что вы сможете безопасно и легко выполнить исправление, не заморачиваясь с командными строками и не взламывая реестр вручную.
  • В начале 2024 года (в следующем году). Неисправленные системы будут принудительно обновлены, в том числе автоматически применены криптографические аннулирования, которые предотвратят работу старых носителей для восстановления на вашем компьютере, таким образом, мы надеемся, что дыра CVE-2023-24932 будет навсегда закрыта для всех.

Кстати, если на вашем компьютере не включена безопасная загрузка, вы можете просто дождаться автоматического завершения трехэтапного процесса, описанного выше.

В конце концов, без Secure Boot любой, кто имеет доступ к вашему компьютеру, все равно может взломать загрузочный код, учитывая, что нет активной криптографической защиты, блокирующей процесс запуска.

У МЕНЯ ВКЛЮЧЕНА SECURE BOOT?

Вы можете узнать, включена ли на вашем компьютере безопасная загрузка, выполнив команду MSINFO32:

Отметка времени:

Больше от Голая Безопасность