[English]Microsoft hat zum Mai 2023-Patchday auch den Support-Beitrag KB5025885 veröffentlicht. Dieser Beitrag erklärt, wie Administratoren und Nutzer den Secure Boot in Windows gegen die Black Lotous-Boot-Kit-Schwachstelle CVE-2023-24932 absichern müssen. Diese Schwachstelle wird von der Black Lotus-Gang ausgenutzt, um den Secure Boot zu umgehen und Systeme zu kompromittieren.
Anzeige
Schwachstelle CVE-2023-24932
Die Schwachstelle CVE-2023-24932 bezieht sich auf eine Sicherheitslücke in Secure Boot in Windows-Betriebssystemen, die das Ausführen nicht vertrauenswürdiger Software während des Startvorgangs ermöglicht. Die Schwachstelle ist öffentlich bekannt und wurde vorher als Zero-Day-Schwachstelle ausgenutzt, bevor ein Patch zur Verfügung stand.
Denn Sicherheitsforscher von ESET haben eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bemächtigt (siehe den Blog-Beitrag BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11). Das UEFI-Bootkit uch den Defender oder Bitlocker und HVCI in Windows deaktivieren.
Zur Ausnutzung dieser Schwachstelle muss ein Angreifer über administrative Rechte oder physischen Zugriff auf das anfällige Gerät verfügen, weshalb Microsoft diese Schwachstelle gemäß dem Microsoft Exploitability Index als "weniger wahrscheinlich" eingestuft hat (siehe Microsoft Security Update Summary (9. Mai 2023)). Allerdings hat die Schwachstelle einen CVEv3 Score 6.7 erhalten.
Schwachstelle CVE-2023-24932 absichern
Zum 9. Mai 2023 hat Microsoft dann für die unterstützten Windows-Systeme Sicherheitsupdates zum Schließen der Schwachstelle CVE-2023-24932 veröffentlicht. Die Updates sind sowohl im CVE-Beitrag Microsofts als auch in den am Artikelende verlinkten Beiträgen zum Patchday aufgeführt.
Anzeige
Im Support-Beitrag KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 legt Microsoft allen Kunden nahe, die Windows-Sicherheitsupdates vom 9. Mai 2023 zu installieren. Allerdings reicht es nicht, das betreffende Update zu installieren, Nutzer müssen zusätzliche Schritte unternehmen, um die Schwachstelle für die öffentlich bekannt gewordene Umgehung des Secure Boot, die vom BlackLotus UEFI-Bootkit genutzt wird und physischen oder administrativen Zugriff auf das Gerät erfordert, zu implementieren.
Der Support-Beitrag KB5025885 enthält die entsprechenden Hinweise, um die Systeme mit nachfolgenden Schritte gegen BlackLotos abzusichern.
- INSTALL the May 9, 2023, updates on all supported versions and then restart the device before applying the revocations.
- UPDATE your bootable media with Windows updates released on or after May 9, 2023. If you do not create your own media, you will need to get the updated official media from Microsoft or your device manufacturer (OEM).
- APPLY revocations to protect against the vulnerability in CVE-2023-24932.
Allerdings ist Vorsicht geboten. Denn sobald die Abhilfemaßnahmen für dieses Problem auf einem Gerät aktiviert sind, d. h. die Widerrufe für die Secure Boot-Einträge angewendet wurden, kann dies nicht mehr rückgängig gemacht werden, sofern Secure Boot weiterhin auf diesem Gerät verwendet wird. Selbst eine Neuformatierung des Datenträgers kann die Widerrufe der durchgeführten Secure Boot-Einträge nicht entfernen. Wer sich auf diese Schiene begibt, sollte sich der möglichen Auswirkungen bewusst sein und gründlich testen, bevor die in im Microsoft Artikel beschriebenen Widerrufe auf Systemen angewandt werden.
Microsoft hat den Support-Beitrag inzwischen mehrfach ergänzt – und es gibt einen zweiten Beitrag KB5027455: Guidance for blocking vulnerable Windows boot managers, der sich mit dem Blockieren der Einträgen in der dbx befasst. Über Twitter bin ich auf den Blog-Beitrag PS Script to Update Boot images with CU-CVE-2023-24932 von MVP Jörgen Nilsson gestoßen, der noch einige Hinweise gibt, wie das Boot-Image per Script geändert werden könnte.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Mai 2023)
Patchday: Windows 10-Updates (9. Mai 2023)
Patchday: Windows 11/Server 2022-Updates (9. Mai 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)
BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11
Anzeige
" sollte sich der möglichen Auswirkungen bewusst sein"
Wäre schön, wenn die Leser jetzt noch wüssten, was die Auswirkungen sind, nach meiner Abschätzung mindestens folgende:
– alte Boot-Medien, z.B. Windows 7, Linux-ISOs, usw. dürften mit Secureboot nicht mehr funktionieren
– alte bootfähige Backups vom System dürften auch nicht mehr funktionieren
– usw.
Das ist ein ziemlich fataler Eingriff, und das selbe wäre eigentlich auch für die geleakten Zertifikate von MSI und Intel nochmal notwendig, wenn es hier keinen Zusammenhang gibt.
Den Mist dürfen die Sysadmins wieder hinbiegen. Da gibts wieder tonnenweise Beiträge, Vorschläge, Korrekturen etc.. irgendwann fliegt einem das Zeugs mal um die Ohren.
Auch bei Veeam herrscht Unsicherheit wie der Impact von diesem KB ist. Die Frage, ob ein altes Backup sich nach den Anpassungen (vor dem 9.5.23) noch starten lässt, ist auch noch nicht beantwortet. Ein neues Recovery-Medium ist offenbar so oder so notwendig.
https://forums.veeam.com/veeam-agent-for-windows-f33/impact-of-microsoft-kb5025885-secure-boot-patch-for-cve-2023-24932-on-veeam-recovery-media-t86939.html
Und wenn man die (manuellen) Aenderungen nicht machen will – resp. Abwarten, ist es auch fahrlässig, den dann sind ja Angriffe wie von Black Lotus (Basta ?) möglich und werden sicher noch stärker ausgenutzt.
Auch noch wichtig zu erwähnen für alle die im KB Artikel nicht nach ganz unten scrollen:
Timing of updates -> Enforcement The final enforcement phase that will make the mitigations permanent. Tentatively scheduled for the first quarter of 2024.
Happy patching also. :)
Ich habe das heute mal testweise auf zwei PCs scharf geschaltet:
1. Einem Asus P8H77-M LE mit Core i3-3220, das ist mein ältester PC mit halbwegs funktionierendem UEFI Secure Boot (Baujahr 2012).
2. Einem Asus PRIME H310M-A R2.0 mit Core i3-8100, das ist mein ältester PC, der offiziell die Windows-11-Systemanforderungen erfüllt.
Die Prozedur zu durchlaufen war problemlos, die Event ID 1035 wurde sofort nach dem ersten Reboot geloggt und der zweite Reboot lief auch ganz normal.
Ich habe dann die für mich relevanten Auswirkungen getestet. Erst mal ein paar Netzwerkboots (von den WDS auf Windows Server 2022):
1. BIOS-CSM-PXE-Netzwerkboot: funktioniert wie erwartet (egal von was, Windows alt / neu / Linux).
2. UEFI-PXE-Netzwerkboot von Windows 10 22H2 mit Mai-Update: funktioniert wie erwartet.
3. UEFI-PXE-Netzwerkboot von Windows 7: scheitert wie erwartet, mit einer Fehlermeldung des Windows-Bootmanagers (winload.efi 0xc0000428 The digital signature for this file couldn't be verified).
Dann habe ich noch einen Schwung USB-Sticks ausprobiert:
1. BIOS-CSM-USB-Boot von einem alten Windows RE 8.1: funktioniert wie erwartet
2. UEFI-USB-Boot von Windows 10 22H2 mit Mai-Update: funktioniert wie erwartet.
3. UEFI-USB-Boot von Windows RE 8.1 oder Windows RE 11 22H2 ohne Mai-Update: Überraschung! Auf dem neueren PC scheitert der Boot wie erwartet, allerdings ohne jede Fehlermeldung. Es wird ganz kurz auf den USB-Stick zugegriffen, dann startet der PC kommentarlos sofort neu. Auf dem älteren PC gelingt es, trotz abgeschaltetem CSM von diesen Sticks zu booten. Das halte ich für einen Firmware-Bug des Mainboards.
Fazit: PCs mit alter Firmware sind wieder mal für neue Überraschungen gut, ansonsten verhält sich das ganze wie erwartet: auf BIOS-CSM-Boots hat es keine Auswirkungen, UEFI-Boots sind nur von aktualisierten Installationen bzw. Bootmedien möglich.