Bootkit 零日修复——这是微软有史以来最谨慎的补丁吗?

Bootkit 零日修复——这是微软有史以来最谨慎的补丁吗?

时间戳:10年2023月7日50:XNUMX AM
源节点: 2641175
by 保罗哈普林

Microsoft 的 2023 年 XNUMX 月补丁星期二更新包含您可能期望的那种混合。

如果按数字来看,有 38个漏洞,其中七个被认为是关键:六个在 Windows 本身中,一个在 SharePoint 中。

显然,38 个漏洞中有 XNUMX 个是零日漏洞,因为它们已经为公众所知,并且至少其中一个已经被网络犯罪分子积极利用。

不幸的是,这些罪犯似乎包括臭名昭著的 Black Lotus 勒索软件团伙,所以很高兴看到为 这个野外安全漏洞,配音 CVE-2023-24932: 安全启动安全功能绕过漏洞。

但是,尽管如果您执行完整的补丁星期二下载并让更新完成,您将获得补丁......

…它不会自动应用。

要激活必要的安全修复程序,您需要阅读并吸收 500个单词的帖子 题为 与 CVE-2023-24932 相关的安全启动管理器更改相关的指南.

然后,您需要完成一个 教学参考 将近 3000 个单词。

那个叫 KB5025885:如何管理与 CVE-2023-24932 相关的安全引导更改的 Windows 引导管理器撤销.

撤销的麻烦

如果您关注了我们最近对 MSI 数据泄露,你会知道它涉及与固件安全相关的加密密钥,据称这些密钥是被另一帮网络勒索分子从主板巨头 MSI 窃取的,他们的街道名称是 Money Message。

您还会知道,评论者对我们撰写的有关 MSI 事件的文章提出了疑问, “为什么 MSI 不立即撤销被盗密钥,停止使用它们,然后推出用新密钥签名的新固件?”

正如我们在该故事的上下文中所解释的那样,拒绝承认受损的固件密钥以阻止可能的流氓固件代码很容易引发所谓的“意外后果法则”的糟糕案例。

例如,您可能决定第一步也是最重要的一步是告诉我不要再信任任何由密钥 XYZ 签名的东西,因为那是被泄露的东西。

毕竟,撤销被盗的钥匙是使它对骗子毫无用处的最快、最可靠的方法,如果你足够快,你甚至可以在他们有机会尝试钥匙之前就换锁。

但是你可以看到这是怎么回事。

如果我的计算机撤销了被盗的密钥以准备接收新密钥和更新的固件,但我的计算机在错误的时刻重新启动(意外或其他原因)......

…那么我已经得到的固件将不再受信任,我将无法启动——不能从硬盘上启动,不能从 USB 上启动,不能从网络上启动,可能根本不能,因为我不会得到至于固件代码中我可以从外部设备加载任何内容的点。

非常谨慎

在 Microsoft 的 CVE-2023-24932 案例中,问题并没有那么严重,因为完整的补丁不会使主板本身的现有固件失效。

完整补丁涉及更新硬盘启动分区中的 Microsoft 启动代码,然后告诉您的主板不要再信任旧的、不安全的启动代码。

理论上,如果出现问题,您应该仍然能够从操作系统引导失败中恢复,只需从您之前准备的恢复磁盘启动即可。

除非您现有的恢复磁盘在此时不会被您的计算机信任,假设它们包含现在已被撤销的启动时组件,因此不会被您的计算机接受。

同样,如果不是整个操作系统安装,您仍然可以通过使用已完全修补的计算机创建一个带有新启动代码的完全最新的恢复映像来恢复您的数据,假设您有一台备用电脑可以方便地做到这一点。

或者,您可以下载已更新的 Microsoft 安装映像,前提是您可以通过某种方式获取下载内容,并且假定 Microsoft 有与您的硬件和操作系统相匹配的可用新映像。

(作为实验,我们刚刚获取了 [2023-05-09:23:55:00Z] 最新的 Windows 11 企业评估版 64 位 ISO 映像,可用于恢复和安装,但最近没有更新。)

即使您或您的 IT 部门确实有时间和备用设备来回顾性地创建恢复映像,这仍然是一个您可以避免的耗时的麻烦,尤其是当您在家和数十个办公室工作时您公司的其他人同时受到阻碍,需要发送新的恢复介质。

下载、准备、撤销

因此,Microsoft 已将此补丁所需的原材料构建到您下载 2023 年 XNUMX 月补丁星期二更新时将获得的文件中,但有意决定不激活自动应用补丁所需的所有步骤。

相反,Microsoft 敦促您需要遵循如下三步手动流程:

  • STEP 1。 获取更新,以便您需要的所有文件都安装在本地硬盘上。 您的计算机将使用新的启动代码,但暂时仍会接受旧的可利用代码。 重要的是,更新的这一步不会自动告诉您的计算机撤销(即不再信任)旧的启动代码。
  • STEP 2。 手动修补所有可启动设备(恢复映像),以便它们具有新的启动代码。 这意味着即使在您完成下面的第 3 步之后,您的恢复映像也可以在您的计算机上正常工作,但是当您准备新的恢复磁盘时,旧的恢复磁盘仍然可以工作,以防万一。 (我们不打算在这里给出分步说明,因为有许多不同的变体;请参阅 微软的参考 代替。)
  • STEP 3。 手动告诉您的计算机撤销错误的启动代码。 此步骤将加密标识符(文件哈希)添加到主板的固件黑名单,以防止将来使用旧的、有缺陷的启动代码,从而防止 CVE-2023-24932 再次被利用。 通过将此步骤延迟到步骤 2 之后,您可以避免遇到无法启动并因此无法再用于完成步骤 2 的计算机的风险。

如您所见,如果您立即同时执行第 1 步和第 3 步,但将第 2 步留到稍后执行,就会出现问题……

…您现有的恢复映像都将不再有效,因为它们将包含已被完全更新的计算机拒绝和禁止的启动代码。

如果您喜欢类比,将第 3 步保存到最后有助于防止您将钥匙锁在车内。

如果您将自己锁在门外,重新格式化您的本地硬盘也无济于事,因为第 3 步会将已撤销的启动代码的加密哈希从您硬盘上的临时存储转移到“不再信任”列表中,该列表已锁定在安全存储中主板本身。

在微软可以理解的更具戏剧性和重复性的官方话语中:

注意

在设备上启用此问题的缓解措施后,即已应用撤销,如果您继续在该设备上使用安全启动,则无法恢复。 如果撤销已经应用,即使重新格式化磁盘也不会删除撤销。

你被警告了!

如果您或您的 IT 团队担心

微软为此特定更新提供了三个阶段的时间表:

  • 2023-05-09(现在)。 上述完整但笨拙的手动过程可用于今天完成补丁。 如果您担心,您可以简单地安装补丁(上面的第 1 步),但现在什么都不做,这会让您的计算机运行新的启动代码,因此准备好接受上述撤销,但仍然可以使用您的现有的恢复磁盘。 (当然,请注意,这仍然可以利用它,因为仍然可以加载旧的启动代码。)
  • 2023-07-11(两个月的时间)。 承诺提供 Safter 自动部署工具。 据推测,届时所有官方 Microsoft 安装下载都会打补丁,因此即使出现问题,您也可以通过官方方式获取可靠的恢复映像。 在这一点上,我们假设您将能够安全轻松地完成补丁,而无需争论命令行或手动破解注册表。
  • 2024 年初(明年)。 未打补丁的系统将被强制更新,包括自动应用密码撤销,这将阻止旧的恢复媒体在您的计算机上运行,​​从而有望为所有人永久关闭 CVE-2023-24932 漏洞。

顺便说一句,如果您的计算机没有开启安全启动,那么您只需等待上述三个阶段的过程自动完成即可。

毕竟,如果没有安全启动,任何有权访问您计算机的人都可以破解启动代码,因为没有主动加密保护来锁定启动过程。

我是否打开了安全启动?

您可以通过运行命令来查看您的计算机是否已打开安全启动 MSINFO32:

时间戳记:

更多来自 裸体安全