Bootkit sıfır gün düzeltmesi – bu Microsoft'un şimdiye kadarki en ihtiyatlı yaması mı?

Bootkit sıfır gün düzeltmesi – bu Microsoft'un şimdiye kadarki en ihtiyatlı yaması mı?

Zaman Damgası: 10 Mayıs 2023 7:50
Kaynak Düğüm: 2641175
by paul ördeklin

Microsoft'un Mayıs 2023 Salı Yaması güncellemeleri, muhtemelen beklediğiniz türden bir karışımdan oluşur.

Rakamlara göre giderseniz, 38 güvenlik açığı, bunlardan yedisi kritik olarak kabul edilir: altısı Windows'ta ve biri SharePoint'te.

Görünüşe göre, 38 delikten üçü sıfır gün, çünkü zaten herkes tarafından biliniyorlar ve en az biri siber suçlular tarafından halihazırda aktif olarak kullanılmış durumda.

Ne yazık ki, bu suçlular arasında kötü şöhretli Black Lotus fidye yazılımı çetesi de var gibi görünüyor, bu nedenle bir yamanın teslim edildiğini görmek güzel. bu vahşi güvenlik deliği, dublajlı CVE-2023-24932: Güvenli Önyükleme Güvenlik Özelliği Güvenlik Açığı Atlama.

Ancak, Salı Yamasını tam olarak indirirseniz ve güncellemenin tamamlanmasına izin verirseniz yamayı alacaksınız...

…otomatik olarak uygulanmaz.

Gerekli güvenlik düzeltmelerini etkinleştirmek için bir 500 kelimelik gönderi adlı CVE-2023-24932 ile ilişkili Güvenli Önyükleme Yöneticisi değişiklikleriyle ilgili rehberlik.

Ardından, bir öğretim referansı bu yaklaşık 3000 kelimeye kadar çıkar.

buna denir KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows Önyükleme Yöneticisi iptallerini yönetme.

İptal sorunu

Son zamanlardaki haberlerimizi takip ettiyseniz MSI veri ihlali, Money Message sokak adıyla hareket eden farklı bir siber gaspçı çetesi tarafından anakart devi MSI'dan çalındığı iddia edilen ürün yazılımı güvenliğiyle ilgili kriptografik anahtarlar içerdiğini bileceksiniz.

Ayrıca, MSI olayı hakkında yazdığımız makalelere yorum yapanların şunu sorduğunu da bileceksiniz: "MSI neden çalınan anahtarları hemen iptal edip, kullanmayı bırakmıyor ve ardından yeni anahtarlarla imzalanmış yeni ürün yazılımını çıkarmıyor?"

Bu hikaye bağlamında açıkladığımız gibi, olası hileli ürün yazılımı kodunu engellemek için güvenliği ihlal edilmiş ürün yazılımı anahtarlarını reddetmek, "istenmeyen sonuçlar yasası" olarak bilinen kötü bir durumu kolayca kışkırtabilir.

Örneğin, ilk ve en önemli adımın, XYZ anahtarı tarafından imzalanan herhangi bir şeye artık güvenmememi söylemek olduğuna karar verebilirsiniz, çünkü güvenliği ihlal edilen odur.

Ne de olsa, çalınan anahtarı iptal etmek, onu dolandırıcılar için işe yaramaz hale getirmenin en hızlı ve en kesin yoludur ve yeterince hızlı olursanız, onlar anahtarı deneme şansı bulamadan kilidi bile değiştirebilirsiniz.

Ama bunun nereye gittiğini görebilirsiniz.

Bilgisayarım, yeni bir anahtar ve güncellenmiş ürün yazılımı almaya hazırlanırken çalınan anahtarı iptal ederse, ancak bilgisayarım (yanlışlıkla veya başka bir şekilde) yanlış zamanda yeniden başlatılırsa...

…o zaman zaten sahip olduğum bellenime artık güvenilmeyecek ve önyükleme yapamayacağım – sabit diskten, USB'den, ağdan değil, muhtemelen hiç, çünkü önyükleme yapamayacağım harici bir cihazdan herhangi bir şey yükleyebileceğim ürün yazılımı kodundaki noktaya kadar.

Bol miktarda dikkat

Microsoft'un CVE-2023-24932 durumunda, sorun bu kadar ciddi değil, çünkü tam yama anakartın kendisinde bulunan mevcut üretici yazılımını geçersiz kılmaz.

Tam yama, Microsoft'un sabit diskinizin başlangıç ​​bölümündeki önyükleme kodunu güncellemeyi ve ardından ana kartınıza artık eski, güvenli olmayan başlatma koduna güvenmemesini söylemeyi içerir.

Teorik olarak, bir şeyler ters giderse, daha önce hazırladığınız bir kurtarma diskinden başlayarak bir işletim sistemi önyükleme hatasından yine de kurtulabilirsiniz.

Şu anda iptal edilmiş olan ve bu nedenle bilgisayarınız tarafından kabul edilmeyecek olan önyükleme zamanı bileşenlerini içerdikleri varsayıldığında, mevcut kurtarma disklerinizin hiçbirine o noktada bilgisayarınız tarafından güvenilmeyeceği dışında.

Yine, üzerinde yeni önyükleme kodu bulunan tamamen güncel bir kurtarma görüntüsü oluşturmak için tam olarak yamalı bir bilgisayar kullanarak, tüm işletim sistemi kurulumunuz olmasa bile, verilerinizi kurtarabilirsiniz. bunu yapmak için kullanışlı bir yedek bilgisayar.

Veya indirmeyi getirmenin bir yolunun olduğunu varsayarak ve Microsoft'un donanımınız ve işletim sisteminizle eşleşen yeni bir görüntüye sahip olduğunu varsayarak, halihazırda güncelleştirilmiş bir Microsoft yükleme görüntüsünü indirebilirsiniz.

(Bir deney olarak, [2023-05-09:23:55:00Z] en son Windows 11 Kurumsal Değerlendirme 64-bit Kurulumun yanı sıra kurtarma için de kullanılabilen, ancak yakın zamanda güncellenmemiş olan ISO görüntüsü.)

Ve siz veya BT departmanınız geriye dönük olarak kurtarma görüntüleri oluşturmak için zamana ve yedek donanıma sahip olsa bile, özellikle evden çalışıyorsanız ve düzinelerce şirketinizdeki diğer kişiler aynı anda engellendi ve yeni kurtarma medyası gönderilmesi gerekiyor.

İndirin, hazırlayın, iptal edin

Bu nedenle Microsoft, bu yama için ihtiyacınız olan hammaddeleri Mayıs 2023 Salı Yaması güncellemenizi indirdiğinizde alacağınız dosyalara yerleştirmiştir, ancak yamayı otomatik olarak uygulamak için gereken tüm adımları etkinleştirmemeye kasıtlı olarak karar vermiştir.

Bunun yerine Microsoft, aşağıdaki gibi üç adımlı manuel bir işlemi izlemeniz gerektiğini söylüyor:

  • ADIM 1. İhtiyacınız olan tüm dosyaların yerel sabit diskinize yüklenmesi için güncellemeyi getirin. Bilgisayarınız yeni önyükleme kodunu kullanıyor olacak, ancak şimdilik eski, kötüye kullanılabilir kodu kabul etmeye devam edecek. Daha da önemlisi, güncellemenin bu adımı, bilgisayarınıza henüz eski önyükleme kodunu iptal etmesini (yani artık güvenmemesini) otomatik olarak söylemez.
  • ADIM 2. Tüm önyüklenebilir aygıtlarınıza (kurtarma görüntüleri) el ile yama yapın, böylece üzerlerinde yeni önyükleme kodu bulunur. Bu, aşağıdaki 3. adımı tamamladıktan sonra bile kurtarma görüntülerinizin bilgisayarınızda doğru şekilde çalışacağı anlamına gelir, ancak yeni kurtarma disklerini hazırlarken, her ihtimale karşı eski diskleriniz çalışmaya devam edecektir. (Birçok farklı varyant olduğu için burada adım adım talimat vermeyeceğiz; danışın Microsoft'un referansı yerine.)
  • ADIM 3. Bilgisayarınıza buggy açılış kodunu iptal etmesini manuel olarak söyleyin. Bu adım, eski, hatalı önyükleme kodunun gelecekte kullanılmasını önlemek için ana kartınızın bellenim engelleme listesine bir kriptografik tanımlayıcı (bir dosya karması) ekler ve böylece CVE-2023-24932'nin yeniden istismar edilmesini önler. Bu adımı 2. adım sonrasına kadar erteleyerek, önyükleme yapmayan ve bu nedenle 2. adımı tamamlamak için artık kullanılamayan bir bilgisayarda takılıp kalma riskinden kaçınırsınız.

Gördüğünüz gibi, 1. ve 3. adımları hemen birlikte gerçekleştirir, ancak 2. adımı sonraya bırakırsanız ve bir şeyler ters giderse...

…mevcut kurtarma görüntülerinizden hiçbiri artık çalışmayacaktır, çünkü tamamen güncellenmiş bilgisayarınız tarafından zaten reddedilen ve yasaklanan başlatma kodunu içereceklerdir.

Analojilerden hoşlanıyorsanız, 3. adımı sonuna kadar kaydetmek, anahtarlarınızı arabanın içinde kilitlemenizi önlemeye yardımcı olur.

Yerel sabit diskinizi yeniden biçimlendirmek, kendinizi kilitlerseniz yardımcı olmaz, çünkü 3. adım, iptal edilen önyükleme kodunun şifreleme karmalarını sabit diskinizdeki geçici depolamadan, "bir daha asla güvenme" listesine aktarır ve bu liste, güvenli depolamada kilitlenir. anakart kendisi.

Microsoft'un anlaşılır şekilde daha dramatik ve tekrarlanan resmi sözleriyle:

DİKKAT

Bir cihazda bu sorunun hafifletilmesi etkinleştirildiğinde, yani iptaller uygulandığında, o cihazda Güvenli Önyüklemeyi kullanmaya devam ederseniz geri alınamaz. Diskin yeniden biçimlendirilmesi bile, zaten uygulanmışsa iptalleri ortadan kaldırmaz.

Uyarıldın!

Siz veya BT ekibiniz endişeleniyorsa

Microsoft, bu belirli güncelleştirme için üç aşamalı bir program sağlamıştır:

  • 2023-05-09 (şimdi). Yukarıda açıklanan tam ama beceriksiz manuel işlem, yamayı bugün tamamlamak için kullanılabilir. Endişeleniyorsanız, yamayı kolayca yükleyebilirsiniz (yukarıdaki 1. adım), ancak şu anda başka bir şey yapmayın, bu da bilgisayarınızın yeni başlatma kodunu çalıştırmasına ve bu nedenle yukarıda açıklanan iptali kabul etmeye hazır olmasına, ancak yine de cihazınızla önyükleme yapmasına neden olur. Mevcut kurtarma diskleri. (Tabii ki, eski açılış kodu hala yüklenebildiğinden, bunun hala kullanılabilir durumda olduğunu unutmayın.)
  • 2023-07-11 (iki aylık süre). Safter otomatik dağıtım araçları vaat ediliyor. Muhtemelen tüm resmi Microsoft yükleme indirmeleri o zamana kadar yamalanacaktır; dolayısıyla bir şeyler ters gitse bile güvenilir bir kurtarma görüntüsü almanın resmi bir yoluna sahip olacaksınız. Bu noktada, yamayı komut satırlarıyla uğraşmadan veya kayıt defterini elle hacklemeden güvenli ve kolay bir şekilde tamamlayabileceğinizi varsayıyoruz.
  • 2024'ün başlarında (gelecek yıl). Eski kurtarma ortamının bilgisayarınızda çalışmasını önleyecek kriptografik iptallerin otomatik olarak uygulanması da dahil olmak üzere, yamalı olmayan sistemler zorla güncellenecek ve böylece CVE-2023-24932 açığının herkes için kalıcı olarak kapanması umulacaktır.

Bu arada, bilgisayarınızda Güvenli Önyükleme açık değilse, yukarıdaki üç aşamalı işlemin otomatik olarak tamamlanmasını bekleyebilirsiniz.

Sonuçta, Güvenli Önyükleme olmadan, başlatma işlemini kilitleyecek aktif bir kriptografik koruma olmadığı göz önüne alındığında, bilgisayarınıza erişimi olan herhangi biri önyükleme kodunu yine de hackleyebilir.

GÜVENLİ ÖNYÜKLEME AÇIK MI?

Komutu çalıştırarak bilgisayarınızda Güvenli Önyüklemenin açık olup olmadığını öğrenebilirsiniz. MSINFO32:

Zaman Damgası:

Den fazla Çıplak Güvenlik