{"id":280801,"date":"2023-05-13T09:44:15","date_gmt":"2023-05-13T07:44:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280801"},"modified":"2025-02-24T15:24:04","modified_gmt":"2025-02-24T14:24:04","slug":"kb5025885-secure-boot-absicherung-gegen-schwachstelle-cve-2023-24932-black-lotus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/13\/kb5025885-secure-boot-absicherung-gegen-schwachstelle-cve-2023-24932-black-lotus\/","title":{"rendered":"KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat zum Mai 2023-Patchday auch den Support-Beitrag KB5025885 ver\u00f6ffentlicht. Dieser Beitrag erkl\u00e4rt, wie Administratoren und Nutzer den Secure Boot in Windows gegen die Black Lotus-Boot-Kit-Schwachstelle CVE-2023-24932 absichern m\u00fcssen. Diese Schwachstelle wird von der Black Lotus-Gang ausgenutzt, um den Secure Boot zu umgehen und Systeme zu kompromittieren.<\/p>\n

<\/p>\n

Schwachstelle CVE-2023-24932<\/h2>\n

\"\"Die Schwachstelle CVE-2023-24932<\/a> bezieht sich auf eine Sicherheitsl\u00fccke in Secure Boot in Windows-Betriebssystemen, die das Ausf\u00fchren nicht vertrauensw\u00fcrdiger Software w\u00e4hrend des Startvorgangs erm\u00f6glicht. Die Schwachstelle ist \u00f6ffentlich bekannt und wurde vorher als Zero-Day-Schwachstelle ausgenutzt, bevor ein Patch zur Verf\u00fcgung stand.<\/p>\n

Denn Sicherheitsforscher von ESET haben eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bem\u00e4chtigt (siehe den Blog-Beitrag BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a>). Das UEFI-Bootkit uch den Defender oder Bitlocker und HVCI in Windows deaktivieren.<\/p>\n

Zur Ausnutzung dieser Schwachstelle muss ein Angreifer \u00fcber administrative Rechte oder physischen Zugriff auf das anf\u00e4llige Ger\u00e4t verf\u00fcgen, weshalb Microsoft diese Schwachstelle gem\u00e4\u00df dem Microsoft Exploitability Index als \"weniger wahrscheinlich\" eingestuft hat (siehe Microsoft Security Update Summary (9. Mai 2023)<\/a>). Allerdings hat die Schwachstelle einen CVEv3 Score 6.7 erhalten.<\/p>\n

Schwachstelle CVE-2023-24932 absichern<\/h2>\n

Zum 9. Mai 2023 hat Microsoft dann f\u00fcr die unterst\u00fctzten Windows-Systeme Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle CVE-2023-24932<\/a> ver\u00f6ffentlicht. Die Updates sind sowohl im CVE-Beitrag Microsofts als auch in den am Artikelende verlinkten Beitr\u00e4gen zum Patchday aufgef\u00fchrt.<\/p>\n

Im Support-Beitrag KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932<\/a> legt Microsoft allen Kunden nahe,\u00a0 die Windows-Sicherheitsupdates vom 9. Mai 2023 zu installieren. Allerdings reicht es nicht, das betreffende Update zu installieren, Nutzer m\u00fcssen zus\u00e4tzliche Schritte unternehmen, um die Schwachstelle f\u00fcr die \u00f6ffentlich bekannt gewordene Umgehung des Secure Boot, die vom BlackLotus UEFI-Bootkit genutzt wird und physischen oder administrativen Zugriff auf das Ger\u00e4t erfordert, zu implementieren.<\/p>\n

Der Support-Beitrag KB5025885<\/a> enth\u00e4lt die entsprechenden Hinweise, um die Systeme mit nachfolgenden Schritte gegen BlackLotos abzusichern.<\/p>\n

    \n
  1. INSTALL the May 9, 2023, updates on all supported versions and then restart the device before applying the revocations.<\/a><\/li>\n
  2. UPDATE your bootable media with Windows updates released on or after May 9, 2023. If you do not create your own media, you will need to get the updated official media from Microsoft or your device manufacturer (OEM).<\/a><\/li>\n
  3. APPLY revocations to protect against the vulnerability in CVE-2023-24932.<\/a><\/li>\n<\/ol>\n

    Allerdings ist Vorsicht geboten. Denn sobald die Abhilfema\u00dfnahmen f\u00fcr dieses Problem auf einem Ger\u00e4t aktiviert sind, d. h. die Widerrufe f\u00fcr die Secure Boot-Eintr\u00e4ge angewendet wurden, kann dies nicht mehr r\u00fcckg\u00e4ngig gemacht werden, sofern Secure Boot weiterhin auf diesem Ger\u00e4t verwendet wird. Selbst eine Neuformatierung des Datentr\u00e4gers kann die Widerrufe der durchgef\u00fchrten Secure Boot-Eintr\u00e4ge nicht entfernen. Wer sich auf diese Schiene begibt, sollte sich der m\u00f6glichen Auswirkungen bewusst sein und gr\u00fcndlich testen, bevor die in im Microsoft Artikel beschriebenen Widerrufe auf Systemen angewandt werden.<\/p>\n

    Microsoft hat den Support-Beitrag inzwischen mehrfach erg\u00e4nzt – und es gibt einen zweiten Beitrag KB5027455: Guidance for blocking vulnerable Windows boot managers<\/a>, der sich mit dem Blockieren der Eintr\u00e4gen in der dbx befasst. \u00dcber Twitter bin ich auf den Blog-Beitrag PS Script to Update Boot images with CU-CVE-2023-24932<\/a> von MVP J\u00f6rgen Nilsson gesto\u00dfen, der noch einige Hinweise gibt, wie das Boot-Image per Script ge\u00e4ndert werden k\u00f6nnte.<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    Microsoft Security Update Summary (9. Mai 2023)<\/a>
    \n    Patchday: Windows 10-Updates (9. Mai 2023)<\/a>
    \n    Patchday: Windows 11\/Server 2022-Updates (9. Mai 2023)<\/a>
    \n    Windows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)<\/a>
    \n    BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Microsoft hat zum Mai 2023-Patchday auch den Support-Beitrag KB5025885 ver\u00f6ffentlicht. Dieser Beitrag erkl\u00e4rt, wie Administratoren und Nutzer den Secure Boot in Windows gegen die Black Lotus-Boot-Kit-Schwachstelle CVE-2023-24932 absichern m\u00fcssen. Diese Schwachstelle wird von der Black Lotus-Gang ausgenutzt, um den Secure … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[1229,4328,4315,3288],"class_list":["post-280801","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-patchday","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280801"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280801\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}