Bootkit zero-day fix – är detta Microsofts mest försiktiga patch någonsin?

Bootkit zero-day fix – är detta Microsofts mest försiktiga patch någonsin?

Tidsstämpel: 10 maj 2023 7:50
Källnod: 2641175
by Paul Ducklin

Microsofts maj 2023 Patch Tuesday-uppdateringar består av precis den sorts blandning du förmodligen förväntade dig.

Om du går efter siffror så finns det 38 XNUMX sårbarheter, varav sju anses vara kritiska: sex i själva Windows och en i SharePoint.

Tydligen är tre av de 38 hålen nolldagar, eftersom de redan är allmänt kända, och åtminstone ett av dem har redan exploaterats aktivt av cyberbrottslingar.

Tyvärr verkar dessa brottslingar inkludera det ökända Black Lotus ransomware-gänget, så det är bra att se en patch levererad för detta i-the-wild säkerhetshål, dubbade CVE-2023-24932: Säker startsäkerhetsfunktion Bypass sårbarhet.

Men även om du får patchen om du utför en fullständig nedladdning av Patch Tuesday och låter uppdateringen slutföras...

…det kommer inte att tillämpas automatiskt.

För att aktivera nödvändiga säkerhetskorrigeringar måste du läsa och ta till dig en 500 ords inlägg med titeln Vägledning relaterad till Secure Boot Manager-ändringar associerade med CVE-2023-24932.

Sedan måste du arbeta igenom en instruktionsreferens som tar nästan 3000 ord.

Den heter KB5025885: Hur man hanterar Windows Boot Manager-återkallanden för Secure Boot-ändringar associerade med CVE-2023-24932.

Problemet med återkallelse

Om du har följt vår senaste bevakning av MSI dataintrång, du vet att det handlar om kryptografiska nycklar som är relevanta för firmwaresäkerhet som påstås ha stulits från moderkortsjätten MSI av ett annat gäng cyberextortionister som går under gatunamnet Money Message.

Du kommer också att veta att kommentatorer på artiklarna vi har skrivit om MSI-incidenten har frågat, "Varför återkallar inte MSI omedelbart de stulna nycklarna, slutar använda dem och trycker sedan ut ny firmware signerad med nya nycklar?"

Som vi har förklarat i samband med den berättelsen, kan ett förkastande av komprometterade firmware-nycklar för att blockera eventuell falsk firmware-kod mycket lätt provocera fram ett dåligt fall av vad som kallas "lagen om oavsiktliga konsekvenser".

Till exempel kan du bestämma dig för att det första och viktigaste steget är att säga åt mig att inte lita på något som är signerat av nyckeln XYZ längre, eftersom det är den som har blivit äventyrad.

Att återkalla den stulna nyckeln är trots allt det snabbaste och säkraste sättet att göra den oanvändbar för skurkarna, och om du är snabb nog kan du till och med få låset bytt innan de har en chans att prova nyckeln överhuvudtaget.

Men du kan se vart det här tar vägen.

Om min dator återkallar den stulna nyckeln som förberedelse för att ta emot en ny nyckel och uppdaterad firmware, men min dator startar om (av misstag eller på annat sätt) vid fel ögonblick...

…då kommer den firmware jag redan har inte längre att vara betrodd, och jag kommer inte att kunna starta upp – inte från hårddisken, inte från USB, inte från nätverket, förmodligen inte alls, för jag kommer inte att få så långt som punkten i firmwarekoden där jag kunde ladda vad som helst från en extern enhet.

Ett överflöd av försiktighet

I Microsofts CVE-2023-24932-fall är problemet inte riktigt så allvarligt, eftersom den fullständiga patchen inte ogiltigförklarar den befintliga firmwaren på själva moderkortet.

Den fullständiga patchen innebär att du uppdaterar Microsofts startkod i hårddiskens startpartition och sedan säger till ditt moderkort att inte lita på den gamla, osäkra startkoden längre.

I teorin, om något går fel, bör du fortfarande kunna återställa från ett uppstartsfel i operativsystemet genom att helt enkelt starta från en återställningsskiva som du förberedde tidigare.

Förutom att ingen av dina befintliga återställningsskivor kommer att vara betrodda av din dator vid den tidpunkten, förutsatt att de innehåller uppstartskomponenter som nu har återkallats och därför inte kommer att accepteras av din dator.

Återigen, du kan fortfarande förmodligen återställa dina data, om inte hela installationen av operativsystemet, genom att använda en dator som har korrigerats för att skapa en helt uppdaterad återställningsavbildning med den nya uppstartskoden på, förutsatt att du har en reservdator till hands för att göra det.

Eller så kan du ladda ner en Microsoft-installationsavbildning som redan har uppdaterats, förutsatt att du har något sätt att hämta nedladdningen, och förutsatt att Microsoft har en ny avbildning tillgänglig som matchar din hårdvara och ditt operativsystem.

(Som ett experiment hämtade vi just [2023-05-09:23:55:00Z] det senaste Windows 11 Enterprise Evaluation 64-bitars ISO-avbildning, som kan användas för återställning såväl som installation, men den hade inte uppdaterats nyligen.)

Och även om du eller din IT-avdelning har tiden och den extra utrustningen för att skapa återställningsbilder i efterhand, kommer det fortfarande att bli ett tidskrävande krångel som ni alla skulle kunna klara er utan, särskilt om ni arbetar hemifrån och dussintals andra personer i ditt företag har blivit stoppade samtidigt och måste skickas nya återställningsmedia.

Ladda ner, förbered, återkalla

Så, Microsoft har byggt in råvarorna du behöver för den här patchen i filerna du får när du laddar ner din uppdatering av Patch Tuesday för maj 2023, men har helt medvetet beslutat att inte aktivera alla steg som behövs för att applicera patchen automatiskt.

Istället uppmanar Microsoft att du måste följa en manuell process i tre steg så här:

  • STEG 1. Hämta uppdateringen så att alla filer du behöver installeras på din lokala hårddisk. Din dator kommer att använda den nya uppstartskoden, men accepterar fortfarande den gamla, exploateringsbara koden tills vidare. Viktigt är att detta steg i uppdateringen inte automatiskt säger åt din dator att återkalla (dvs. inte längre lita på) den gamla startkoden ännu.
  • STEG 2. Patcha alla dina startbara enheter (återställningsbilder) manuellt så att de har den nya uppstartskoden på sig. Det betyder att dina återställningsbilder kommer att fungera korrekt med din dator även efter att du har slutfört steg 3 nedan, men medan du förbereder nya återställningsskivor kommer dina gamla fortfarande att fungera, för säkerhets skull. (Vi kommer inte att ge steg-för-steg-instruktioner här eftersom det finns många olika varianter; konsultera Microsofts referens istället.)
  • STEG 3. Be din dator manuellt att återkalla buggystartkoden. Det här steget lägger till en kryptografisk identifierare (en filhash) till ditt moderkorts firmwareblockeringslista för att förhindra att den gamla, buggiga uppstartskoden används i framtiden, vilket förhindrar att CVE-2023-24932 utnyttjas igen. Genom att skjuta upp detta steg till efter steg 2 undviker du risken att fastna med en dator som inte startar och därför inte längre kan användas för att slutföra steg 2.

Som du kan se, om du utför steg 1 och 3 tillsammans direkt, men lämnar steg 2 tills senare, och något går fel...

...ingen av dina befintliga återställningsbilder kommer att fungera längre eftersom de kommer att innehålla uppstartskod som redan har förkastats och förbjudits av din redan helt uppdaterade dator.

Om du gillar analogier, hjälper det att spara steg 3 till sist av allt för att förhindra att du låser dina nycklar inne i bilen.

Att formatera om din lokala hårddisk hjälper inte om du låser dig själv, eftersom steg 3 överför de kryptografiska hasharna för den återkallade startkoden från temporär lagring på hårddisken till en "lita aldrig på igen"-lista som är låst till säker lagring på moderkortet i sig.

Med Microsofts förståeligt nog mer dramatiska och repetitiva officiella ord:

VARNING

När begränsningen för detta problem har aktiverats på en enhet, vilket innebär att återkallelserna har tillämpats, kan det inte återställas om du fortsätter att använda säker start på den enheten. Inte ens omformatering av disken tar bort återkallelserna om de redan har tillämpats.

Du har blivit varnad!

Om du eller ditt IT-team är oroliga

Microsoft har tillhandahållit ett trestegsschema för den här uppdateringen:

  • 2023-05-09 (nu). Den fullständiga men klumpiga manuella processen som beskrivs ovan kan användas för att slutföra patchen idag. Om du är orolig kan du helt enkelt installera patchen (steg 1 ovan) men inte göra något annat just nu, vilket gör att din dator kör den nya uppstartskoden och därför redo att acceptera återkallelsen som beskrivs ovan, men fortfarande kan starta med din befintliga återställningsdiskar. (Observera, naturligtvis, att detta gör att den fortfarande kan utnyttjas, eftersom den gamla uppstartskoden fortfarande kan laddas.)
  • 2023-07-11 (två månader). Säkrare automatiska distributionsverktyg utlovas. Förmodligen kommer alla officiella Microsoft-installationsnedladdningar att vara korrigerade då, så även om något går fel har du ett officiellt sätt att hämta en tillförlitlig återställningsbild. Vid det här laget antar vi att du kommer att kunna slutföra patchen säkert och enkelt, utan att bråka kommandorader eller hacka registret för hand.
  • Tidigt 2024 (nästa år). Opatchade system kommer att tvångsuppdateras, inklusive automatisk tillämpning av de kryptografiska återkallelserna som förhindrar gamla återställningsmedia från att fungera på din dator, vilket förhoppningsvis stänger CVE-2023-24932-hålet permanent för alla.

Förresten, om din dator inte har Säker start påslagen, kan du helt enkelt vänta på att trestegsprocessen ovan ska slutföras automatiskt.

När allt kommer omkring, utan Secure Boot, kan vem som helst med tillgång till din dator hacka uppstartskoden ändå, med tanke på att det inte finns något aktivt kryptografiskt skydd för att låsa startprocessen.

HAR JAG SÄKER STÖVEL PÅ?

Du kan ta reda på om din dator har Säker start påslagen genom att köra kommandot MSINFO32:

Tidsstämpel:

Mer från Naken säkerhet