Виправлення нульового дня Bootkit – це найобережніший патч від Microsoft?

Виправлення нульового дня Bootkit – це найобережніший патч від Microsoft?

Мітка часу: 10 травня 2023 7:50
Вихідний вузол: 2641175
by Пол Даклін

Оновлення від Microsoft у вівторок у травні 2023 року містять саме ту суміш, яку ви, ймовірно, очікували.

Якщо говорити цифрами, то є 38 уразливостей, з яких сім вважаються критичними: шість у самій Windows і один у SharePoint.

Судячи з усього, три з 38 дір є нульовими днями, тому що вони вже відомі громадськості, і принаймні одна з них вже активно використовувалася кіберзлочинцями.

На жаль, серед цих злочинців, схоже, є сумнозвісна банда програм-вимагачів Black Lotus, тому приємно бачити виправлення для ця діра безпеки в дикій природі, охрещений CVE-2023-24932: Уразливість обходу функції безпеки безпечного завантаження.

Однак, хоча ви отримаєте патч, якщо виконаєте повне завантаження Patch Tuesday і дасте оновленню завершитися…

…воно не буде застосовано автоматично.

Щоб активувати необхідні виправлення безпеки, вам потрібно буде прочитати та засвоїти a Допис із 500 слів Озаглавлений Інструкції щодо змін у Secure Boot Manager, пов’язаних із CVE-2023-24932.

Потім вам потрібно буде пропрацювати an інструктивна довідка який містить майже 3000 слів.

Той називається KB5025885: як керувати відкликанням диспетчера завантаження Windows для змін безпечного завантаження, пов’язаних із CVE-2023-24932.

Проблема з відкликанням

Якщо ви стежили за нашим нещодавнім висвітленням Порушення даних MSI, ви знаєте, що він включає криптографічні ключі, пов’язані з безпекою вбудованого програмного забезпечення, які нібито були викрадені з гіганта материнських плат MSI іншою бандою кібервимагачів під псевдонімом Money Message.

Ви також знаєте, що коментатори статей, які ми написали про інцидент з MSI, запитували: «Чому б MSI негайно не анулювати вкрадені ключі, припинити їх використання, а потім випустити нову мікропрограму, підписану новими ключами?»

Як ми пояснювали в контексті цієї історії, відмова від скомпрометованих ключів мікропрограми для блокування можливого фальшивого коду мікропрограми може дуже легко спровокувати поганий випадок того, що відомо як «закон непередбачених наслідків».

Наприклад, ви можете вирішити, що перший і найважливіший крок — сказати мені більше не довіряти нічого, що підписане ключем XYZ, тому що це те, що було зламано.

Зрештою, відкликати викрадений ключ — це найшвидший і найнадійніший спосіб зробити його непотрібним для шахраїв, і якщо ви досить поспішні, ви навіть можете змінити замок до того, як вони взагалі зможуть спробувати ключ.

Але ви бачите, куди це веде.

Якщо мій комп’ютер скасовує викрадений ключ, готуючись до отримання нового ключа та оновленого мікропрограмного забезпечення, але комп’ютер перезавантажується (випадково чи іншим чином) у невідповідний момент…

…тоді мікропрограма, яку я вже отримав, більше не буде надійною, і я не зможу завантажитися – ні з жорсткого диска, ні з USB, ні з мережі, ймовірно, взагалі, тому що я не отримаю що стосується точки в коді мікропрограми, де я міг завантажити будь-що із зовнішнього пристрою.

Велика кількість обережності

У випадку Microsoft CVE-2023-24932 проблема не така серйозна, оскільки повне виправлення не робить недійсним наявне мікропрограмне забезпечення на самій материнській платі.

Повне виправлення передбачає оновлення коду завантаження Microsoft у розділі завантаження вашого жорсткого диска, а потім повідомлення системній платі більше не довіряти старому, небезпечному коду завантаження.

Теоретично, якщо щось піде не так, ви все одно зможете відновити операційну систему після помилки завантаження, просто запустивши її з диска відновлення, який ви підготували раніше.

За винятком того, що жоден із ваших існуючих дисків відновлення не буде довірятися вашому комп’ютеру в цей момент, припускаючи, що вони містять компоненти часу завантаження, які наразі відкликано, і, отже, не будуть прийняті вашим комп’ютером.

Знову ж таки, ви все ще можете відновити свої дані, якщо не всю інсталяцію операційної системи, використовуючи комп’ютер, на якому було повністю виправлено, щоб створити повністю оновлений образ відновлення з новим кодом завантаження на ньому, припускаючи, що у вас є запасний комп’ютер зручний для цього.

Або ви можете завантажити інсталяційний образ Microsoft, який уже оновлено, припускаючи, що у вас є спосіб отримати завантаження, і припускаючи, що Microsoft має свіжий доступний образ, який відповідає вашому апаратному забезпеченню та операційній системі.

(В якості експерименту ми щойно отримали [2023-05-09:23:55:00Z] останню Windows 11 Enterprise Evaluation 64-bit ISO-образ, який можна використовувати як для відновлення, так і для інсталяції, але він нещодавно не оновлювався.)

І навіть якщо у вас або вашого ІТ-відділу є час і запасне обладнання для ретроспективного створення образів для відновлення, це все одно буде трудомісткою проблемою, без якої ви могли б обійтися, особливо якщо ви працюєте вдома та десятки інші люди у вашій компанії були заблоковані в той же час, і їм потрібно надіслати нові носії для відновлення.

Завантажити, підготувати, відкликати

Отже, корпорація Майкрософт уклала вихідні матеріали, необхідні для цього виправлення, у файли, які ви отримаєте, коли завантажите оновлення виправлення у вівторок за травень 2023 року, але цілком свідомо вирішила не активувати всі кроки, необхідні для автоматичного застосування виправлення.

Натомість корпорація Майкрософт закликає вас виконати триетапний процес вручну, як цей:

  • КРОК 1. Отримайте оновлення, щоб усі потрібні файли було встановлено на локальному жорсткому диску. Ваш комп’ютер використовуватиме новий код завантаження, але поки що прийматиме старий код, який можна використовувати. Важливо, що цей крок оновлення ще не автоматично повідомляє вашому комп’ютеру відкликати (тобто більше не довіряти) старий код завантаження.
  • КРОК 2. Вручну виправте всі свої завантажувальні пристрої (образи відновлення), щоб на них був новий код завантаження. Це означає, що ваші образи відновлення працюватимуть правильно з вашим комп’ютером навіть після виконання кроку 3, наведеного нижче, але поки ви готуєте нові диски відновлення, ваші старі диски все ще працюватимуть, про всяк випадок. (Ми не збираємося давати тут покрокові інструкції, тому що є багато різних варіантів; проконсультуйтесь Довідка Microsoft натомість.)
  • КРОК 3. Вручну повідомте комп’ютеру скасувати помилковий код завантаження. Цей крок додає криптографічний ідентифікатор (хеш файлу) до списку заблокованих мікропрограм вашої материнської плати, щоб запобігти використанню старого коду завантаження з помилками в майбутньому, таким чином запобігаючи повторному використанню CVE-2023-24932. Відкладаючи цей крок після кроку 2, ви уникаєте ризику застрягти з комп’ютером, який не завантажується, і тому його більше не можна використовувати для виконання кроку 2.

Як бачите, якщо виконати кроки 1 і 3 разом відразу, але залишити крок 2 на потім, щось піде не так…

…жоден із ваших існуючих образів відновлення більше не працюватиме, оскільки вони міститимуть завантажувальний код, який уже відхилено та заборонено вашим уже повністю оновленим комп’ютером.

Якщо вам подобаються аналогії, збереження кроку 3 до останнього допомагає запобігти замкненню ключів у машині.

Переформатування локального жорсткого диска не допоможе, якщо ви заблокуєте себе, оскільки на кроці 3 криптографічні хеші відкликаного коду завантаження передаються з тимчасового сховища на вашому жорсткому диску до списку «ніколи більше не довіряйте», який заблоковано в безпечному сховищі на сама материнська плата.

Зрозуміло, більш драматичні та повторювані офіційні слова Microsoft:

УВАГА!

Якщо на пристрої ввімкнено пом’якшення цієї проблеми, тобто застосовано відкликання, його неможливо скасувати, якщо ви продовжуєте використовувати безпечне завантаження на цьому пристрої. Навіть переформатування диска не усуне відкликання, якщо вони вже були застосовані.

Вас попередили!

Якщо ви або ваша ІТ-команда хвилюєтесь

Корпорація Майкрософт надала триетапний графік для цього конкретного оновлення:

  • 2023-05-09 (зараз). Повний, але незграбний ручний процес, описаний вище, можна використати для завершення виправлення сьогодні. Якщо ви хвилюєтеся, ви можете просто встановити патч (крок 1 вище), але зараз нічого більше не робити, у результаті чого ваш комп’ютер буде працювати з новим кодом завантаження та, отже, буде готовий прийняти відкликання, описане вище, але зможе завантажуватися за допомогою вашого наявні диски відновлення. (Зауважте, звичайно, що це залишає його придатним для використання, оскільки старий код завантаження все ще можна завантажити.)
  • 2023-07-11 (два місяці). Обіцяно безпечніші засоби автоматичного розгортання. Імовірно, до того часу всі офіційні інсталяційні завантаження Microsoft будуть виправлені, тож навіть якщо щось піде не так, у вас буде офіційний спосіб отримати надійний образ відновлення. На цьому етапі ми припускаємо, що ви зможете безпечно та легко завершити встановлення виправлення, не сперечаючись із командними рядками чи вручну зламавши реєстр.
  • На початку 2024 (наступного року). Системи без виправлень буде примусово оновлено, включно з автоматичним застосуванням криптографічних відкликань, які не дозволять старим носіям відновлення працювати на вашому комп’ютері, таким чином, сподіваємося, назавжди закриється діра CVE-2023-24932 для всіх.

До речі, якщо на вашому комп’ютері не ввімкнуто безпечне завантаження, ви можете просто дочекатися автоматичного завершення описаного вище триетапного процесу.

Зрештою, без безпечного завантаження будь-хто, хто має доступ до вашого комп’ютера, все одно міг би зламати код завантаження, враховуючи відсутність активного криптографічного захисту для блокування процесу запуску.

ЧИ УВІМКНУТО БЕЗПЕЧНЕ ЗАВАНТАЖЕННЯ?

Ви можете дізнатися, чи на вашому комп’ютері ввімкнено Secure Boot, виконавши команду MSINFO32:

Часова мітка:

Більше від Гола безпека