Bootkit zero-day fix - کیا یہ مائیکروسافٹ کا اب تک کا سب سے زیادہ محتاط پیچ ہے؟

مائیکروسافٹ کی مئی 2023 پیچ منگل کی تازہ کاریوں میں صرف اس قسم کے مرکب پر مشتمل ہے جس کی آپ کو توقع تھی۔

اگر آپ نمبروں سے جاتے ہیں تو، وہاں موجود ہیں 38 کمزوریاں، جن میں سے سات کو اہم سمجھا جاتا ہے: خود ونڈوز میں چھ، اور ایک شیئرپوائنٹ میں۔

بظاہر، 38 سوراخوں میں سے تین صفر دن کے ہیں، کیونکہ وہ پہلے سے ہی عوامی طور پر مشہور ہیں، اور ان میں سے کم از کم ایک کا پہلے ہی سائبر کرائمینلز کے ذریعے فعال طور پر استحصال کیا جا چکا ہے۔

بدقسمتی سے، ایسا لگتا ہے کہ ان مجرموں میں بدنام زمانہ بلیک لوٹس رینسم ویئر گینگ شامل ہے، لہذا یہ دیکھنا اچھا ہے یہ جنگلی حفاظتی سوراخ، ڈب CVE-2023-24932: سیکیور بوٹ سیکیورٹی فیچر بائی پاس کمزوری

تاہم، اگرچہ آپ کو پیچ مل جائے گا اگر آپ منگل کو مکمل پیچ ڈاؤن لوڈ کرتے ہیں اور اپ ڈیٹ کو مکمل ہونے دیتے ہیں…

…یہ خود بخود لاگو نہیں ہوگا۔

ضروری حفاظتی اصلاحات کو فعال کرنے کے لیے، آپ کو a کو پڑھنا اور جذب کرنا ہوگا۔ 500،XNUMX الفاظ کی پوسٹ جس کا عنوان CVE-2023-24932 سے وابستہ سیکیور بوٹ مینیجر تبدیلیوں سے متعلق رہنمائی.

پھر، آپ کو ایک کے ذریعے کام کرنے کی ضرورت ہوگی۔ تدریسی حوالہ جو کہ تقریباً 3000 الفاظ پر مشتمل ہے۔

اسی کو کہتے ہیں۔ KB5025885: CVE-2023-24932 سے وابستہ سیکیور بوٹ تبدیلیوں کے لیے ونڈوز بوٹ مینیجر کی منسوخی کا انتظام کیسے کریں.

تنسیخ کے ساتھ پریشانی

اگر آپ نے ہماری حالیہ کوریج کی پیروی کی ہے۔ MSI ڈیٹا کی خلاف ورزی، آپ کو معلوم ہو گا کہ اس میں فرم ویئر سیکیورٹی سے متعلقہ کرپٹوگرافک کلیدیں شامل ہیں جو مبینہ طور پر مدر بورڈ دیو MSI سے سائبر بھتہ خوروں کے ایک مختلف گروہ کے ذریعہ چوری کی گئی ہیں جو سڑک کے نام منی میسج سے جا رہے ہیں۔

آپ کو یہ بھی معلوم ہوگا کہ MSI واقعے کے بارے میں ہم نے جو مضامین لکھے ہیں ان پر تبصرہ کرنے والوں نے پوچھا ہے، "ایم ایس آئی چوری شدہ چابیاں فوری طور پر منسوخ کیوں نہیں کرتا، ان کا استعمال بند کر دیتا ہے، اور پھر نئی چابیاں کے ساتھ دستخط شدہ نئے فرم ویئر کو باہر دھکیلتا ہے؟"

جیسا کہ ہم نے اس کہانی کے سیاق و سباق میں وضاحت کی ہے، ممکنہ بدمعاش فرم ویئر کوڈ کو روکنے کے لیے سمجھوتہ شدہ فرم ویئر کیز کو مسترد کرنا بہت آسانی سے اس خراب معاملے کو بھڑکا سکتا ہے جسے "غیر ارادی نتائج کا قانون" کہا جاتا ہے۔

مثال کے طور پر، آپ یہ فیصلہ کر سکتے ہیں کہ پہلا اور سب سے اہم مرحلہ یہ ہے کہ مجھے یہ بتانا ہے کہ کلیدی XYZ کے دستخط شدہ کسی بھی چیز پر مزید بھروسہ نہ کروں، کیونکہ یہ وہی ہے جس سے سمجھوتہ کیا گیا ہے۔

بہر حال، چوری شدہ چابی کو منسوخ کرنا اسے بدمعاشوں کے لیے بیکار بنانے کا سب سے تیز اور یقینی طریقہ ہے، اور اگر آپ کافی جلدی کرتے ہیں، تو ممکن ہے کہ آپ کو تالہ بھی تبدیل کر دیا جائے اس سے پہلے کہ انہیں چابی آزمانے کا موقع ملے۔

لیکن آپ دیکھ سکتے ہیں کہ یہ کہاں جا رہا ہے۔

اگر میرا کمپیوٹر ایک تازہ کلید اور اپ ڈیٹ شدہ فرم ویئر حاصل کرنے کی تیاری میں چوری شدہ کلید کو منسوخ کر دیتا ہے، لیکن میرا کمپیوٹر غلط وقت پر دوبارہ شروع ہو جاتا ہے (حادثاتی طور پر یا دوسری صورت میں)…

…پھر میرے پاس پہلے سے موجود فرم ویئر پر مزید بھروسہ نہیں کیا جائے گا، اور میں بوٹ نہیں کر پاؤں گا – ہارڈ ڈسک سے نہیں، USB سے نہیں، نیٹ ورک سے نہیں، شاید بالکل بھی نہیں، کیونکہ مجھے نہیں ملے گا۔ جہاں تک فرم ویئر کوڈ کا نقطہ ہے جہاں میں کسی بیرونی ڈیوائس سے کچھ بھی لوڈ کرسکتا ہوں۔

احتیاط کی کثرت

مائیکروسافٹ کے CVE-2023-24932 کیس میں، مسئلہ اتنا شدید نہیں ہے، کیونکہ مکمل پیچ خود مدر بورڈ پر موجود فرم ویئر کو باطل نہیں کرتا ہے۔

مکمل پیچ میں آپ کی ہارڈ ڈسک کے سٹارٹ اپ پارٹیشن میں مائیکروسافٹ کے بوٹ اپ کوڈ کو اپ ڈیٹ کرنا، اور پھر اپنے مدر بورڈ کو پرانے، غیر محفوظ بوٹ اپ کوڈ پر مزید بھروسہ نہ کرنا شامل ہے۔

نظریہ میں، اگر کچھ غلط ہو جاتا ہے، تو آپ کو ابھی بھی آپریٹنگ سسٹم کے بوٹ کی ناکامی سے صرف اس ریکوری ڈسک سے شروع کرنے کے قابل ہونا چاہیے جو آپ نے پہلے تیار کی تھی۔

سوائے اس کے کہ آپ کی موجودہ ریکوری ڈسکوں میں سے کسی پر بھی اس وقت آپ کے کمپیوٹر پر بھروسہ نہیں کیا جائے گا، یہ فرض کرتے ہوئے کہ ان میں بوٹ ٹائم اجزاء شامل ہیں جو اب منسوخ ہو چکے ہیں اور اس طرح آپ کے کمپیوٹر کے ذریعے قبول نہیں کیے جائیں گے۔

ایک بار پھر، آپ اب بھی اپنے ڈیٹا کو بحال کر سکتے ہیں، اگر آپ کے پورے آپریٹنگ سسٹم کی انسٹالیشن نہیں ہے، تو ایک ایسے کمپیوٹر کا استعمال کر کے جس پر نئے بوٹ اپ کوڈ کے ساتھ ایک مکمل اپ ٹو ڈیٹ ریکوری امیج بنانے کے لیے مکمل طور پر پیچ کیا گیا ہو، یہ فرض کرتے ہوئے کہ آپ کے پاس موجود ہے۔ ایسا کرنے کے لیے ایک فالتو کمپیوٹر آسان ہے۔

یا آپ مائیکروسافٹ انسٹالیشن امیج ڈاؤن لوڈ کرسکتے ہیں جو پہلے ہی اپ ڈیٹ ہوچکی ہے، یہ فرض کرتے ہوئے کہ آپ کے پاس ڈاؤن لوڈ لانے کا کوئی طریقہ ہے، اور یہ فرض کرتے ہوئے کہ مائیکروسافٹ کے پاس ایک تازہ تصویر دستیاب ہے جو آپ کے ہارڈ ویئر اور آپریٹنگ سسٹم سے ملتی ہے۔

(ایک تجربے کے طور پر، ہم نے ابھی تازہ ترین [2023-05-09:23:55:00Z] حاصل کیا ونڈوز 11 انٹرپرائز ایویلیوایشن 64 بٹ ISO امیج، جسے ریکوری کے ساتھ ساتھ انسٹالیشن کے لیے بھی استعمال کیا جا سکتا ہے، لیکن اسے حال ہی میں اپ ڈیٹ نہیں کیا گیا تھا۔)

اور یہاں تک کہ اگر آپ کے یا آپ کے آئی ٹی ڈیپارٹمنٹ کے پاس ریکوری امیجز بنانے کے لیے وقت اور فالتو سامان ہے، تب بھی یہ ایک وقت طلب پریشانی ہوگی جس کے بغیر آپ سب کر سکتے ہیں، خاص طور پر اگر آپ گھر سے کام کر رہے ہیں اور درجنوں آپ کی کمپنی کے دوسرے لوگوں کو ایک ہی وقت میں روکا گیا ہے اور انہیں نیا ریکوری میڈیا بھیجنے کی ضرورت ہے۔

ڈاؤن لوڈ کریں، تیار کریں، منسوخ کریں۔

لہذا، مائیکروسافٹ نے اس پیچ کے لیے درکار خام مال کو ان فائلوں میں بنایا ہے جو آپ کو مئی 2023 کے پیچ منگل کے اپ ڈیٹ کو ڈاؤن لوڈ کرنے پر حاصل ہوں گے، لیکن پیچ کو خود بخود لاگو کرنے کے لیے درکار تمام اقدامات کو فعال کرنے کے خلاف کافی حد تک جان بوجھ کر فیصلہ کیا ہے۔

اس کے بجائے، مائیکروسافٹ آپ پر زور دیتا ہے کہ آپ کو اس طرح تین قدمی دستی عمل پر عمل کرنے کی ضرورت ہے:

• مرحلہ نمبر 1. اپ ڈیٹ حاصل کریں تاکہ آپ کو درکار تمام فائلیں آپ کی مقامی ہارڈ ڈسک پر انسٹال ہو جائیں۔ آپ کا کمپیوٹر نیا بوٹ اپ کوڈ استعمال کر رہا ہو گا، لیکن پھر بھی اس وقت کے لیے پرانے، قابل استعمال کوڈ کو قبول کرے گا۔ اہم بات یہ ہے کہ اپ ڈیٹ کا یہ مرحلہ خود بخود آپ کے کمپیوٹر کو پرانے بوٹ اپ کوڈ کو منسوخ کرنے (یعنی اب بھروسہ نہیں) کرنے کو نہیں کہتا ہے۔
• مرحلہ نمبر 2. اپنے تمام بوٹ ایبل ڈیوائسز (ریکوری امیجز) کو دستی طور پر پیچ کریں تاکہ ان پر نیا بوٹ اپ کوڈ ہو۔ اس کا مطلب ہے کہ آپ کی ریکوری امیجز آپ کے کمپیوٹر کے ساتھ صحیح طریقے سے کام کریں گی یہاں تک کہ آپ نیچے مرحلہ 3 مکمل کر لیں گے، لیکن جب آپ نئی ریکوری ڈسکیں تیار کر رہے ہوں گے، آپ کی پرانی تصویریں اب بھی کام کریں گی۔ (ہم یہاں مرحلہ وار ہدایات نہیں دینے جا رہے ہیں کیونکہ بہت سے مختلف قسمیں ہیں؛ مشورہ کریں۔ مائیکروسافٹ کا حوالہ اس کے بجائے۔)
• مرحلہ نمبر 3. دستی طور پر اپنے کمپیوٹر کو بگی بوٹ اپ کوڈ کو منسوخ کرنے کو کہیں۔ یہ مرحلہ آپ کے مدر بورڈ کے فرم ویئر بلاک لسٹ میں ایک کرپٹوگرافک شناخت کنندہ (ایک فائل ہیش) کا اضافہ کرتا ہے تاکہ پرانے، بگی بوٹ اپ کوڈ کو مستقبل میں استعمال ہونے سے روکا جا سکے، اس طرح CVE-2023-24932 کو دوبارہ استعمال ہونے سے روکا جا سکتا ہے۔ اس مرحلے کو مرحلہ 2 کے بعد تک موخر کر کے، آپ ایسے کمپیوٹر کے ساتھ پھنس جانے کے خطرے سے بچ جاتے ہیں جو بوٹ نہیں ہوتا اور اس وجہ سے مرحلہ 2 کو مکمل کرنے کے لیے مزید استعمال نہیں کیا جا سکتا۔

جیسا کہ آپ دیکھ سکتے ہیں، اگر آپ مرحلہ 1 اور 3 کو فوراً ایک ساتھ انجام دیتے ہیں، لیکن مرحلہ 2 کو بعد میں چھوڑ دیتے ہیں، اور کچھ غلط ہو جاتا ہے…

…آپ کی موجودہ ریکوری امیجز میں سے کوئی بھی مزید کام نہیں کرے گی کیونکہ ان میں بوٹ اپ کوڈ ہوگا جو آپ کے پہلے سے ہی مکمل طور پر اپ ڈیٹ شدہ کمپیوٹر کے ذریعے مسترد اور پابندی لگا چکا ہے۔

اگر آپ مشابہت پسند کرتے ہیں، تو آخری مرحلے تک 3 کو محفوظ کرنا آپ کو کار کے اندر اپنی چابیاں لاک کرنے سے روکنے میں مدد کرتا ہے۔

اگر آپ خود کو لاک آؤٹ کر لیتے ہیں تو اپنی لوکل ہارڈ ڈسک کو دوبارہ فارمیٹ کرنے سے کوئی فائدہ نہیں ہو گا، کیونکہ مرحلہ 3 آپ کی ہارڈ ڈسک پر عارضی اسٹوریج سے منسوخ شدہ بوٹ اپ کوڈ کی کرپٹوگرافک ہیشز کو "دوبارہ کبھی بھروسہ نہ کریں" کی فہرست میں منتقل کر دیتا ہے جو محفوظ اسٹوریج میں بند ہے۔ motherboard خود.

مائیکروسافٹ کے قابل فہم زیادہ ڈرامائی اور دہرائے جانے والے سرکاری الفاظ میں:

احتیاط

ایک بار جب اس مسئلے کی تخفیف کسی ڈیوائس پر فعال ہو جاتی ہے، یعنی منسوخیاں لاگو ہو جاتی ہیں، تو اسے واپس نہیں کیا جا سکتا اگر آپ اس ڈیوائس پر سیکیور بوٹ کا استعمال جاری رکھیں۔ یہاں تک کہ ڈسک کو دوبارہ فارمیٹ کرنے سے بھی منسوخیاں ختم نہیں ہوں گی اگر وہ پہلے ہی لاگو ہوچکی ہیں۔

آپ کو متنبہ کیا جاتا ہے!

اگر آپ یا آپ کی IT ٹیم پریشان ہیں۔

مائیکروسافٹ نے اس خاص اپ ڈیٹ کے لیے تین مراحل کا شیڈول فراہم کیا ہے:

• 2023-05-09 (اب)۔ اوپر بیان کردہ مکمل لیکن اناڑی دستی عمل کو آج ہی پیچ کو مکمل کرنے کے لیے استعمال کیا جا سکتا ہے۔ اگر آپ پریشان ہیں تو، آپ آسانی سے پیچ انسٹال کر سکتے ہیں (اوپر مرحلہ 1) لیکن ابھی اور کچھ نہیں کریں، جس سے آپ کا کمپیوٹر نیا بوٹ اپ کوڈ چلاتا ہے اور اس لیے اوپر بیان کردہ منسوخی کو قبول کرنے کے لیے تیار ہے، لیکن پھر بھی اپنے ساتھ بوٹ کرنے کے قابل ہے۔ موجودہ ریکوری ڈسک۔ (یقیناً، نوٹ کریں کہ اس سے یہ اب بھی فائدہ مند رہتا ہے، کیونکہ پرانا بوٹ اپ کوڈ اب بھی لوڈ کیا جا سکتا ہے۔)
• 2023-07-11 (دو ماہ کا وقت)۔ Safter automatic deployment tools are promised. Presumably, all official Microsoft installation downloads will be patched by then, so even if something does go wrong you will have an official way to fetch a reliable recovery image. At this point, we assume you will be able to complete the patch safely and easily, without wrangling command lines or hacking the registry by hand.
• 2024 کے اوائل میں (اگلے سال)۔ بغیر پیچ والے سسٹمز کو زبردستی اپ ڈیٹ کر دیا جائے گا، بشمول خودکار طور پر کرپٹوگرافک تنسیخوں کو لاگو کرنا جو پرانے ریکوری میڈیا کو آپ کے کمپیوٹر پر کام کرنے سے روکے گا، اس طرح امید ہے کہ ہر کسی کے لیے CVE-2023-24932 سوراخ کو مستقل طور پر بند کر دیا جائے گا۔

ویسے، اگر آپ کے کمپیوٹر میں سیکیور بوٹ آن نہیں ہے، تو آپ صرف اوپر والے تین مراحل کے عمل کے خود بخود مکمل ہونے کا انتظار کر سکتے ہیں۔

بہر حال، سیکیور بوٹ کے بغیر، آپ کے کمپیوٹر تک رسائی رکھنے والا کوئی بھی شخص بہرحال بوٹ اپ کوڈ کو ہیک کر سکتا ہے، بشرطیکہ اسٹارٹ اپ کے عمل کو لاک ڈاؤن کرنے کے لیے کوئی فعال کرپٹوگرافک تحفظ نہ ہو۔

---

کیا میں نے محفوظ بوٹ آن کیا ہے؟

آپ کمانڈ چلا کر معلوم کر سکتے ہیں کہ آیا آپ کے کمپیوٹر نے سیکیور بوٹ آن کیا ہے۔ MSINFO32:

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/