Bootkit zero-day fix – ali je to najbolj previden Microsoftov popravek?

Bootkit zero-day fix – ali je to najbolj previden Microsoftov popravek?

Časovni žig: 10. maj 2023 7:50
Izvorno vozlišče: 2641175
by Paul Ducklin

Microsoftove torkove posodobitve popravkov maja 2023 vsebujejo ravno takšno mešanico, ki ste jo verjetno pričakovali.

Če greste po številkah, jih je 38 ranljivosti, od katerih jih je sedem kritičnih: šest v samem sistemu Windows in eden v SharePointu.

Očitno so tri od 38 lukenj zero-day, ker so že javno znane, vsaj eno izmed njih pa so kiberkriminalci že aktivno izkoriščali.

Na žalost se zdi, da ti kriminalci vključujejo zloglasno tolpo izsiljevalske programske opreme Black Lotus, zato je dobro videti popravek za ta varnostna luknja v divjini, poimenovane CVE-2023-24932: Ranljivost obhoda varnostne funkcije varnega zagona.

Čeprav boste popravek prejeli, če v torek izvedete celoten prenos popravka in pustite, da se posodobitev dokonča ...

… ne bo samodejno uporabljeno.

Če želite aktivirati potrebne varnostne popravke, boste morali prebrati in absorbirati a Objava s 500 besedami Z naslovom Navodila v zvezi s spremembami upravitelja varnega zagona, povezanimi s CVE-2023-24932.

Nato boste morali delati skozi poučna referenca ki obsega skoraj 3000 besed.

Ta se imenuje KB5025885: Kako upravljati preklice programa Windows Boot Manager za spremembe varnega zagona, povezane s CVE-2023-24932.

Težave s preklicem

Če ste spremljali našo nedavno poročanje o Kršitev podatkov MSI, boste vedeli, da vključuje kriptografske ključe, pomembne za varnost vdelane programske opreme, ki naj bi jih velikanu matičnih plošč MSI ukradla druga skupina kibernetskih izsiljevalcev, ki se imenujejo Money Message.

Vedeli boste tudi, da so komentatorji člankov, ki smo jih napisali o incidentu MSI, vprašali, "Zakaj MSI takoj ne prekliče ukradenih ključev, jih neha uporabljati in nato izda novo vdelano programsko opremo, podpisano z novimi ključi?"

Kot smo pojasnili v kontekstu te zgodbe, lahko zavrnitev ogroženih ključev vdelane programske opreme za blokiranje morebitne lažne kode vdelane programske opreme zelo enostavno povzroči slab primer tega, kar je znano kot "zakon nenamernih posledic".

Na primer, lahko se odločite, da je prvi in ​​najpomembnejši korak, da mi poveste, naj ne zaupam več ničemur, kar je podpisano s ključem XYZ, ker je to tisto, kar je bilo ogroženo.

Navsezadnje je preklic ukradenega ključa najhitrejši in najzanesljivejši način, da ga naredite neuporabnega za prevarante, in če ste dovolj hitri, lahko celo zamenjate ključavnico, preden bodo sploh imeli priložnost poskusiti ključ.

Ampak lahko vidite, kam to pelje.

Če moj računalnik prekliče ukradeni ključ v pripravah na prejem novega ključa in posodobljene vdelane programske opreme, vendar se računalnik znova zažene (pomotoma ali drugače) v napačnem trenutku ...

… potem vdelana programska oprema, ki jo že imam, ne bo več zaupanja vredna in ne bom se mogel zagnati – ne s trdega diska, ne z USB-ja, ne iz omrežja, verjetno sploh ne, ker ne bom dobil do točke v kodi vdelane programske opreme, kjer bi lahko naložil karkoli iz zunanje naprave.

Obilo previdnosti

V Microsoftovem primeru CVE-2023-24932 težava ni tako huda, saj celoten popravek ne razveljavi obstoječe vdelane programske opreme na sami matični plošči.

Celoten popravek vključuje posodobitev Microsoftove zagonske kode na zagonski particiji vašega trdega diska in nato sporočanje vaši matični plošči, naj ne zaupa več stari, nevarni zagonski kodi.

V teoriji, če gre kaj narobe, bi še vedno morali obnoviti napako pri zagonu operacijskega sistema preprosto z zagonom z obnovitvene diskete, ki ste jo pripravili prej.

Le da vaš računalnik na tej točki ne bo zaupal nobeni od vaših obstoječih obnovitvenih diskov, ob predpostavki, da vključujejo komponente zagonskega časa, ki so bile zdaj preklicane in jih vaš računalnik zato ne bo sprejel.

Ponovno lahko še vedno verjetno obnovite svoje podatke, če ne celotne namestitve operacijskega sistema, z uporabo računalnika, ki je bil v celoti popravljen za ustvarjanje popolnoma posodobljene obnovitvene slike z novo zagonsko kodo na njej, ob predpostavki, da imate rezervni računalnik je priročen za to.

Lahko pa prenesete Microsoftovo namestitveno sliko, ki je že bila posodobljena, ob predpostavki, da imate nek način za prenos in ob predpostavki, da ima Microsoft na voljo novo sliko, ki ustreza vaši strojni opremi in operacijskemu sistemu.

(Kot poskus smo pravkar pridobili [2023-05-09:23:55:00Z] najnovejšo Windows 11 Enterprise Evaluation 64-bit ISO slika, ki se lahko uporablja za obnovitev in namestitev, vendar ni bila pred kratkim posodobljena.)

In tudi če imate vi ali vaš oddelek za IT čas in rezervno opremo za retrospektivno ustvarjanje obnovitvenih slik, bo to še vedno dolgotrajna težava, brez katere bi lahko vsi, še posebej, če delate od doma in na desetine drugi ljudje v vašem podjetju so bili istočasno v zastoju in jim je treba poslati nove obnovitvene medije.

Prenesite, pripravite, prekličite

Tako je Microsoft vgradil surovine, ki jih potrebujete za ta popravek, v datoteke, ki jih boste dobili, ko prenesete torkovo posodobitev popravka maja 2023, vendar se je namerno odločil, da ne bo aktiviral vseh korakov, potrebnih za samodejno uporabo popravka.

Namesto tega Microsoft poziva, da morate slediti ročnemu postopku v treh korakih, kot je ta:

  • KORAK 1. Pridobite posodobitev, tako da bodo vse datoteke, ki jih potrebujete, nameščene na lokalnem trdem disku. Vaš računalnik bo uporabljal novo zagonsko kodo, vendar bo zaenkrat še vedno sprejemal staro, izkoriščeno kodo. Pomembno je, da ta korak posodobitve vašemu računalniku še ne sporoči samodejno, naj prekliče (tj. ne zaupa več) stari zagonski kodi.
  • KORAK 2. Ročno popravite vse zagonske naprave (obnovitvene slike), da bodo imele novo zagonsko kodo. To pomeni, da bodo vaše obnovitvene slike pravilno delovale z vašim računalnikom, tudi ko dokončate 3. korak spodaj, a medtem ko pripravljate nove obnovitvene diskete, bodo stare še vedno delovale, za vsak slučaj. (Tukaj ne bomo dajali navodil po korakih, ker obstaja veliko različnih različic; posvetujte se Microsoftova referenca namesto tega.)
  • KORAK 3. Ročno povejte računalniku, naj prekliče zagonsko kodo z napakami. Ta korak doda kriptografski identifikator (razpršitev datoteke) na seznam blokiranih vdelane programske opreme vaše matične plošče, da prepreči uporabo stare zagonske kode z napakami v prihodnosti in tako prepreči ponovno izkoriščanje CVE-2023-24932. Če odložite ta korak do 2. koraka, se izognete tveganju, da bi obtičali z računalnikom, ki se noče zagnati in ga zato ni več mogoče uporabiti za dokončanje 2. koraka.

Kot lahko vidite, če takoj izvedete 1. in 3. korak skupaj, 2. korak pa pustite za pozneje, gre nekaj narobe ...

… nobena od vaših obstoječih obnovitvenih slik ne bo več delovala, ker bodo vsebovale zagonsko kodo, ki jo je vaš že popolnoma posodobljen računalnik že zavrnil in prepovedal.

Če imate radi analogije, shranite 3. korak do zadnjega in tako preprečite, da bi zaklenili ključe v avtomobilu.

Ponovno formatiranje lokalnega trdega diska ne bo pomagalo, če se zaklenete, ker 3. korak prenese kriptografske zgoščene vrednosti preklicane zagonske kode iz začasnega pomnilnika na vašem trdem disku na seznam »nikoli več ne zaupajte«, ki je zaklenjen v varno shrambo na sama matična plošča.

Z razumljivo bolj dramatičnimi in ponavljajočimi se Microsoftovimi uradnimi besedami:

POZOR

Ko je ublažitev te težave omogočena v napravi, kar pomeni, da so bili preklici uporabljeni, je ni mogoče razveljaviti, če v tej napravi še naprej uporabljate varni zagon. Tudi ponovno formatiranje diska ne bo odstranilo preklicev, če so bile že uporabljene.

Bili ste opozorjeni!

Če ste vi ali vaša IT ekipa zaskrbljeni

Microsoft je zagotovil tristopenjski razpored za to posebno posodobitev:

  • 2023-05-09 (zdaj). Zgoraj opisan popoln, a neroden ročni postopek lahko uporabite za dokončanje popravka še danes. Če ste zaskrbljeni, lahko preprosto namestite popravek (1. korak zgoraj), vendar trenutno ne storite ničesar drugega, zaradi česar vaš računalnik izvaja novo zagonsko kodo in je zato pripravljen sprejeti zgoraj opisani preklic, vendar se še vedno lahko zažene z vašo obstoječe obnovitvene diske. (Seveda upoštevajte, da ga s tem še vedno lahko izkoristite, ker je staro zagonsko kodo še vedno mogoče naložiti.)
  • 2023-07-11 (čez dva meseca). Safter automatic deployment tools are promised. Presumably, all official Microsoft installation downloads will be patched by then, so even if something does go wrong you will have an official way to fetch a reliable recovery image. At this point, we assume you will be able to complete the patch safely and easily, without wrangling command lines or hacking the registry by hand.
  • V začetku leta 2024 (naslednje leto). Nepopravljeni sistemi bodo prisilno posodobljeni, vključno s samodejno uporabo kriptografskih preklicev, ki bodo preprečile delovanje starih obnovitvenih medijev v vašem računalniku, s čimer bomo, upajmo, trajno zaprli luknjo CVE-2023-24932 za vse.

Mimogrede, če vaš računalnik nima vklopljenega varnega zagona, lahko preprosto počakate, da se zgornji tristopenjski postopek samodejno zaključi.

Navsezadnje bi lahko brez varnega zagona vsak, ki ima dostop do vašega računalnika, tako ali tako vdrl v zagonsko kodo, glede na to, da ni aktivne kriptografske zaščite, ki bi zaklenila postopek zagona.

ALI IMAM VKLOPLJEN VARNI ZAGON?

Če zaženete ukaz, lahko ugotovite, ali ima vaš računalnik vklopljen varni zagon MSINFO32:

Časovni žig:

Več od Gola varnost