Bootkit zero-day fix – นี่คือแพตช์ที่ Microsoft ระมัดระวังที่สุดเท่าที่เคยมีมาหรือไม่?

Bootkit zero-day fix – นี่คือแพตช์ที่ Microsoft ระมัดระวังที่สุดเท่าที่เคยมีมาหรือไม่?

ประทับเวลา: 10 พฤษภาคม 2023 7:50 น
โหนดต้นทาง: 2641175
by พอล ดั๊กลิน

การอัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2023 ของ Microsoft ประกอบด้วยส่วนผสมที่คุณอาจคาดไว้

ถ้าว่ากันตามตัวเลขก็มี 38 ช่องโหว่ซึ่งเจ็ดรายการถือว่าวิกฤต: หกรายการใน Windows และอีกหนึ่งรายการใน SharePoint

เห็นได้ชัดว่า 38 ใน XNUMX หลุมนั้นเป็นซีโร่เดย์ เนื่องจากหลุมดังกล่าวเป็นที่ทราบกันทั่วไปอยู่แล้ว และอย่างน้อยหนึ่งในนั้นถูกอาชญากรไซเบอร์ใช้ประโยชน์อย่างแข็งขัน

น่าเสียดายที่อาชญากรเหล่านั้นดูเหมือนจะรวมถึงแก๊งแรนซั่มแวร์ Black Lotus ที่มีชื่อเสียง ดังนั้นจึงเป็นเรื่องดีที่จะได้เห็นแพตช์สำหรับ หลุมรักษาความปลอดภัยในป่าแห่งนี้ถูกขนานนามว่า CVE-2023-24932: Secure Boot Security Feature บายพาสช่องโหว่

อย่างไรก็ตาม แม้ว่าคุณจะได้รับแพตช์หากคุณทำการดาวน์โหลด Patch Tuesday แบบเต็มและปล่อยให้การอัปเดตเสร็จสมบูรณ์...

…จะไม่ถูกนำไปใช้โดยอัตโนมัติ

ในการเปิดใช้งานการแก้ไขความปลอดภัยที่จำเป็น คุณจะต้องอ่านและทำความเข้าใจกับ โพสต์ 500 คำ ได้รับสิทธิ คำแนะนำเกี่ยวกับการเปลี่ยนแปลง Secure Boot Manager ที่เกี่ยวข้องกับ CVE-2023-24932.

จากนั้นคุณจะต้องทำงานผ่าน อ้างอิงการเรียนการสอน ที่มีความยาวเกือบ 3000 คำ

อันนั้นเรียกว่า KB5025885: วิธีจัดการการเพิกถอน Windows Boot Manager สำหรับการเปลี่ยนแปลง Secure Boot ที่เชื่อมโยงกับ CVE-2023-24932.

ปัญหาเกี่ยวกับการเพิกถอน

หากคุณได้ติดตามการรายงานข่าวล่าสุดของ การละเมิดข้อมูล MSIคุณจะรู้ว่ามันเกี่ยวข้องกับคีย์เข้ารหัสที่เกี่ยวข้องกับความปลอดภัยของเฟิร์มแวร์ที่ถูกกล่าวหาว่าขโมยมาจากเมนบอร์ดยักษ์ใหญ่ MSI โดยกลุ่มนักกรรโชกทางไซเบอร์กลุ่มอื่นที่ใช้ชื่อ Money Message

คุณจะทราบด้วยว่าผู้แสดงความคิดเห็นในบทความที่เราเขียนเกี่ยวกับเหตุการณ์ MSI ได้ถามว่า “เหตุใด MSI จึงไม่เพิกถอนคีย์ที่ถูกขโมยทันที หยุดใช้ แล้วจึงออกเฟิร์มแวร์ใหม่ที่เซ็นชื่อด้วยคีย์ใหม่”

ดังที่เราได้อธิบายในบริบทของเรื่องราวนั้น การปฏิเสธคีย์เฟิร์มแวร์ที่ถูกบุกรุกเพื่อบล็อกโค้ดเฟิร์มแวร์ที่อาจเป็นไปได้นั้นสามารถกระตุ้นให้เกิดกรณีเลวร้ายของสิ่งที่เรียกว่า “กฎแห่งผลที่ตามมาโดยไม่ตั้งใจ” ได้อย่างง่ายดาย

ตัวอย่างเช่น คุณอาจตัดสินใจว่าขั้นตอนแรกและสำคัญที่สุดคือการบอกฉันว่าอย่าเชื่อถือสิ่งที่ลงนามโดยคีย์ XYZ อีกต่อไป เพราะนั่นคือสิ่งที่ถูกบุกรุก

ท้ายที่สุด การเพิกถอนกุญแจที่ขโมยมานั้นเป็นวิธีที่เร็วและแน่นอนที่สุดในการทำให้มันไม่มีประโยชน์สำหรับอาชญากร และถ้าคุณเร็วพอ คุณอาจเปลี่ยนแม่กุญแจก่อนที่พวกเขาจะมีโอกาสได้ลองใช้กุญแจเลยด้วยซ้ำ

แต่คุณสามารถเห็นได้ว่าจะเกิดอะไรขึ้น

หากคอมพิวเตอร์ของฉันเพิกถอนคีย์ที่ถูกขโมยเพื่อเตรียมรับคีย์ใหม่และเฟิร์มแวร์ที่อัปเดต แต่คอมพิวเตอร์ของฉันรีบูต (โดยไม่ตั้งใจหรืออย่างอื่น) ในจังหวะที่ไม่ถูกต้อง...

…จากนั้นเฟิร์มแวร์ที่ฉันมีอยู่จะไม่ได้รับความเชื่อถืออีกต่อไป และฉันจะไม่สามารถบู๊ตได้ – ไม่ทำงานจากฮาร์ดดิสก์ ไม่ทำงานจาก USB ไม่ทำงานจากเครือข่าย อาจไม่ได้เลย เพราะฉันจะไม่ได้รับ ถึงจุดในรหัสเฟิร์มแวร์ที่ฉันสามารถโหลดอะไรก็ได้จากอุปกรณ์ภายนอก

คำเตือนมากมาย

ในกรณี CVE-2023-24932 ของ Microsoft ปัญหาไม่รุนแรงเท่าที่ควร เนื่องจากโปรแกรมแก้ไขแบบเต็มไม่ได้ทำให้เฟิร์มแวร์ที่มีอยู่แล้วบนเมนบอร์ดใช้ไม่ได้

แพตช์แบบเต็มจะเกี่ยวข้องกับการอัปเดตรหัสบูตของ Microsoft ในพาร์ติชั่นเริ่มต้นของฮาร์ดดิสก์ของคุณ จากนั้นจึงบอกเมนบอร์ดของคุณว่าอย่าเชื่อถือรหัสบูตเก่าที่ไม่ปลอดภัยอีกต่อไป

ตามทฤษฎีแล้ว หากเกิดข้อผิดพลาด คุณควรจะยังสามารถกู้คืนจากการบูตระบบปฏิบัติการล้มเหลวได้ง่ายๆ โดยเริ่มต้นจากดิสก์กู้คืนที่คุณเตรียมไว้ก่อนหน้านี้

เว้นแต่ว่าคอมพิวเตอร์ของคุณจะเชื่อถือดิสก์กู้คืนข้อมูลที่มีอยู่ ณ จุดนั้นไม่ได้ สมมติว่ามีคอมโพเนนต์เวลาบูตซึ่งตอนนี้ถูกเพิกถอนแล้ว และคอมพิวเตอร์ของคุณจะไม่ได้รับการยอมรับ

อีกครั้ง คุณอาจยังคงสามารถกู้คืนข้อมูลของคุณได้ หากไม่ใช่การติดตั้งระบบปฏิบัติการทั้งหมดของคุณ โดยใช้คอมพิวเตอร์ที่ได้รับการแพตช์อย่างสมบูรณ์เพื่อสร้างอิมเมจการกู้คืนที่เป็นปัจจุบันโดยสมบูรณ์พร้อมรหัสบูทเครื่องใหม่ สมมติว่าคุณมี คอมพิวเตอร์สำรองสะดวกที่จะทำเช่นนั้น

หรือคุณสามารถดาวน์โหลดอิมเมจการติดตั้งของ Microsoft ที่ได้รับการอัปเดตแล้ว โดยสมมติว่าคุณมีวิธีดึงข้อมูลดาวน์โหลด และสมมติว่า Microsoft มีอิมเมจใหม่ที่ตรงกับฮาร์ดแวร์และระบบปฏิบัติการของคุณ

(จากการทดลอง เราเพิ่งดึงข้อมูลล่าสุด [2023-05-09:23:55:00Z] การประเมิน Windows 11 Enterprise 64 บิต อิมเมจ ISO ซึ่งสามารถใช้สำหรับการกู้คืนและการติดตั้ง แต่ไม่ได้รับการอัปเดตเมื่อเร็วๆ นี้)

และแม้ว่าคุณจะหรือแผนก IT ของคุณมีเวลาและอุปกรณ์สำรองในการสร้างอิมเมจการกู้คืนย้อนหลัง แต่ก็ยังเป็นเรื่องยุ่งยากที่ใช้เวลานานซึ่งคุณสามารถทำได้ทั้งหมด โดยเฉพาะอย่างยิ่งหากคุณทำงานจากที่บ้านและอีกมากมาย คนอื่นๆ ในบริษัทของคุณประสบปัญหาในเวลาเดียวกัน และจำเป็นต้องส่งสื่อการกู้คืนข้อมูลใหม่

ดาวน์โหลด เตรียมเพิกถอน

ดังนั้น Microsoft ได้สร้างวัตถุดิบที่คุณต้องการสำหรับแพตช์นี้ไว้ในไฟล์ที่คุณจะได้รับเมื่อคุณดาวน์โหลดอัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2023 แต่ได้ตัดสินใจอย่างจงใจที่จะไม่เปิดใช้งานขั้นตอนทั้งหมดที่จำเป็นในการใช้แพตช์โดยอัตโนมัติ

Microsoft ขอเรียกร้องให้คุณต้องทำตามขั้นตอนด้วยตนเองสามขั้นตอนดังต่อไปนี้:

  • ขั้นตอนที่ 1. ดึงข้อมูลอัปเดตเพื่อให้ติดตั้งไฟล์ทั้งหมดที่คุณต้องการบนฮาร์ดดิสก์ในเครื่องของคุณ คอมพิวเตอร์ของคุณจะใช้รหัสการบูตใหม่ แต่จะยังคงยอมรับรหัสเก่าที่ใช้ประโยชน์ได้ในขณะนี้ ที่สำคัญ ขั้นตอนนี้ของการอัปเดตไม่ได้บอกให้คอมพิวเตอร์ของคุณเพิกถอน (เช่น ไม่ไว้วางใจอีกต่อไป) รหัสการบูตเก่าโดยอัตโนมัติ
  • ขั้นตอนที่ 2. แพตช์อุปกรณ์ที่สามารถบู๊ตได้ทั้งหมดด้วยตนเอง (อิมเมจการกู้คืน) เพื่อให้มีรหัสบูทเครื่องใหม่ ซึ่งหมายความว่าอิมเมจการกู้คืนของคุณจะทำงานได้อย่างถูกต้องกับคอมพิวเตอร์ของคุณ แม้ว่าคุณจะทำตามขั้นตอนที่ 3 ด้านล่างเสร็จแล้ว แต่ในขณะที่คุณกำลังเตรียมดิสก์กู้คืนใหม่ ดิสก์เก่าของคุณจะยังคงใช้งานได้ ในกรณีเช่นนี้ (เราจะไม่ให้คำแนะนำแบบทีละขั้นตอนที่นี่เนื่องจากมีรูปแบบต่างๆ มากมาย โปรดปรึกษา ข้อมูลอ้างอิงของ Microsoft แทน.)
  • ขั้นตอนที่ 3. บอกคอมพิวเตอร์ของคุณด้วยตนเองให้ยกเลิกรหัสการบูตรถ ขั้นตอนนี้จะเพิ่มตัวระบุการเข้ารหัส (แฮชไฟล์) ไปยังรายการบล็อคเฟิร์มแวร์ของเมนบอร์ดของคุณเพื่อป้องกันไม่ให้ใช้รหัสบูตเครื่องเก่าที่มีปัญหาในอนาคต ซึ่งจะช่วยป้องกันไม่ให้ CVE-2023-24932 ถูกโจมตีอีกครั้ง การเลื่อนขั้นตอนนี้ไปจนหลังขั้นตอนที่ 2 จะช่วยหลีกเลี่ยงความเสี่ยงที่จะเกิดปัญหากับคอมพิวเตอร์ที่ไม่สามารถบู๊ตได้ ดังนั้นจึงไม่สามารถใช้เพื่อดำเนินการขั้นตอนที่ 2 ให้เสร็จสิ้นได้อีกต่อไป

อย่างที่คุณเห็น หากคุณทำขั้นตอนที่ 1 และ 3 พร้อมกันทันที แต่ปล่อยขั้นตอนที่ 2 ไว้ในภายหลัง และมีบางอย่างผิดพลาด...

…ไม่มีอิมเมจการกู้คืนที่มีอยู่ของคุณที่จะใช้งานได้อีกต่อไป เนื่องจากพวกมันจะมีรหัสสำหรับบูทเครื่องซึ่งคอมพิวเตอร์ที่อัปเดตเต็มรูปแบบของคุณปฏิเสธและแบนไปแล้ว

หากคุณชอบการเปรียบเทียบ การประหยัดขั้นตอนที่ 3 จนถึงขั้นตอนสุดท้ายจะช่วยป้องกันไม่ให้คุณล็อกกุญแจไว้ในรถ

การฟอร์แมตฮาร์ดดิสก์ในเครื่องของคุณใหม่จะไม่ช่วยอะไรหากคุณล็อคตัวเองไม่ให้เข้าใช้งาน เพราะขั้นตอนที่ 3 จะถ่ายโอนแฮชเข้ารหัสของรหัสบูตที่ถูกเพิกถอนจากที่เก็บข้อมูลชั่วคราวในฮาร์ดดิสก์ของคุณไปยังรายการ เมนบอร์ดนั่นเอง

ในคำอย่างเป็นทางการที่น่าทึ่งและซ้ำซากของ Microsoft:

ข้อควรระวัง

เมื่อเปิดใช้งานการบรรเทาปัญหานี้บนอุปกรณ์ หมายความว่ามีการใช้การเพิกถอนแล้ว จะไม่สามารถเปลี่ยนกลับได้หากคุณยังคงใช้ Secure Boot บนอุปกรณ์นั้นต่อไป แม้แต่การฟอร์แมตดิสก์ใหม่ก็จะไม่เป็นการลบการเพิกถอนหากนำไปใช้แล้ว

คุณได้รับการเตือนแล้ว!

หากคุณหรือทีมไอทีของคุณกังวลใจ

Microsoft ได้จัดทำกำหนดการสามขั้นตอนสำหรับการอัปเดตเฉพาะนี้:

  • 2023-05-09 (ปัจจุบัน) กระบวนการแบบแมนนวลแต่เต็มไปด้วยความเงอะงะที่อธิบายไว้ข้างต้นสามารถใช้เพื่อทำให้แพตช์เสร็จสมบูรณ์ในวันนี้ หากคุณกังวล คุณเพียงแค่ติดตั้งแพตช์ (ขั้นตอนที่ 1 ด้านบน) แต่ไม่ต้องดำเนินการใดๆ ในตอนนี้ ซึ่งจะปล่อยให้คอมพิวเตอร์ของคุณเรียกใช้รหัสการบูตใหม่ และพร้อมที่จะยอมรับการเพิกถอนที่อธิบายไว้ข้างต้น แต่ยังคงสามารถบูตได้โดยใช้ ดิสก์กู้คืนข้อมูลที่มีอยู่ (โปรดทราบว่าสิ่งนี้ทำให้ยังคงใช้ประโยชน์ได้เนื่องจากยังสามารถโหลดรหัสบูตเครื่องเก่าได้)
  • 2023-07-11 (รอบสองเดือน). มีการสัญญาว่าจะใช้เครื่องมือการปรับใช้อัตโนมัติของ Safter การดาวน์โหลดการติดตั้ง Microsoft อย่างเป็นทางการทั้งหมดจะได้รับการแก้ไขภายในเวลานั้น ดังนั้นแม้ว่าจะมีข้อผิดพลาดเกิดขึ้น คุณจะมีวิธีอย่างเป็นทางการในการดึงข้อมูลอิมเมจการกู้คืนที่เชื่อถือได้ ณ จุดนี้ เราถือว่าคุณจะสามารถดำเนินการแพตช์ได้อย่างปลอดภัยและง่ายดาย โดยไม่ต้องวุ่นวายกับบรรทัดคำสั่งหรือแฮ็กรีจิสทรีด้วยมือ
  • ต้นปี 2024 (ปีหน้า) ระบบที่ไม่ได้แพตช์จะถูกบังคับให้อัปเดต รวมถึงการใช้การเพิกถอนการเข้ารหัสโดยอัตโนมัติ ซึ่งจะป้องกันไม่ให้สื่อการกู้คืนข้อมูลเก่าทำงานบนคอมพิวเตอร์ของคุณ ดังนั้นหวังว่าจะปิดช่องโหว่ CVE-2023-24932 อย่างถาวรสำหรับทุกคน

อย่างไรก็ตาม หากคอมพิวเตอร์ของคุณไม่ได้เปิด Secure Boot ไว้ คุณสามารถรอให้กระบวนการสามขั้นตอนด้านบนเสร็จสิ้นโดยอัตโนมัติ

ท้ายที่สุด หากไม่มี Secure Boot ใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ของคุณสามารถแฮ็กรหัสการบูตได้อยู่ดี เนื่องจากไม่มีการป้องกันการเข้ารหัสที่แอ็คทีฟเพื่อล็อคกระบวนการเริ่มต้น

ฉันเปิดการบู๊ตแบบปลอดภัยไว้หรือไม่

คุณสามารถตรวจสอบว่าคอมพิวเตอร์ของคุณเปิดใช้ Secure Boot หรือไม่โดยการเรียกใช้คำสั่ง MSINFO32:

ประทับเวลา:

เพิ่มเติมจาก ความปลอดภัยเปล่า