![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Ich greife nochmals ein Thema auf, welches uns im Mai 2023 bereits besch\u00e4ftigte. Mit den Mai 2023 Sicherheitsupdates hat Microsoft ja versucht, die Schwachstelle im Secure Boot, die durch die Hackergruppe BlackLotus und deren UEFI-Bootkit ausgenutzt wird, zu schlie\u00dfen. Das Ganze muss aber durch Administratoren manuell implementiert werden. Mich interessiert, wie der Status bei euch Administratoren im Unternehmensumfeld diesbez\u00fcglich ist.<\/p>\n
<\/p>\n
Seit die Hackergruppe BlackLotus einen Weg gefunden hat, den von Microsoft f\u00fcr Windows propagierten Secure Boot zu umgehen, bem\u00fcht sich Microsoft darum, diese Schwachstelle zu schlie\u00dfen. Es werden Updates f\u00fcr Windows ver\u00f6ffentlicht, die die Schwachstelle adressieren. Das Problem: Administratoren m\u00fcssten die Sicherheitsupdates manuell einspielen und laufen in Gefahr, dass Systeme mit nicht angepassten Boot-Medien im Secure Boot-Modus nicht mehr starten k\u00f6nnen. Ich hatte das Ganze schon mal im Mai 2203 aufgegriffen. Aber man k\u00f6nnte schlie\u00dfen, dass Secure Boot damit mehr oder weniger unbrauchbar geworden ist. Wie dr\u00fcckt es ein Leser aus, der mich auf einen Bericht von Arstechnica hinwies: \"Eventuell was Interessantes f\u00fcr Sie: Leider nicht gut: Bye bye Secure Boot… \". Hier nochmals ein Nachgang zum Thema.<\/p>\n
Sicherheitsforscher von ESET haben 2022 eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bem\u00e4chtigt und von der Cyber-Gruppe Black Lotus f\u00fcr Angriffe verwendet wurde. Das UEFI-Bootkit wird seit Oktober 2022 in Hackerforen f\u00fcr 5.000 US-Dollar verkauft. Im M\u00e4rz 2023 haben die Sicherheitsforscher dann ihre Erkenntnisse \u00f6ffentlich gemacht.<\/p>\n
Die Schwachstelle CVE-2023-24932<\/a> bezieht sich auf eine Sicherheitsl\u00fccke in dem in Windows-Betriebssystemen verwendeten Secure Boot, die das Ausf\u00fchren nicht vertrauensw\u00fcrdiger Software w\u00e4hrend des Startvorgangs erm\u00f6glicht (genau das soll Secure Boot ja eigentlich verhindern).<\/p>\n Ich hatte im Blog-Beitrag BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a> berichtet und schrieb: BlackLotus d\u00fcrfte die erste UEFI-Bootkit-Malware in freier Wildbahn sein, die Secure Boot unter Windows 11 (und wohl auch Windows 10) aushebeln kann. Damit kann Malware dann auch den Defender oder Bitlocker und HVCI in Windows deaktivieren. <\/em>Einziger Lichtblick: Die Angreifer ben\u00f6tigen physischen oder administrativen Zugriff auf das Ger\u00e4t, um den BlackLotus UEFI-Bootkit auf das System zu bringen.<\/p>\n Bereits im Mai 2023 hatte Microsoft dieses Secure Boot-Problem aufgegriffen und f\u00fcr die unterst\u00fctzten Windows-Systeme Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle CVE-2023-24932<\/a> ver\u00f6ffentlicht. Zeitgleich gab es dann den Support-Beitrag KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932<\/a> legt Microsoft allen Kunden nahe,\u00a0 die Windows-Sicherheitsupdates vom 9. Mai 2023 zu installieren.<\/p>\n Allerdings reicht es nicht, das betreffende Update zu installieren, Nutzer m\u00fcssen zus\u00e4tzliche Schritte unternehmen, um die Schwachstelle zur Umgehung des Secure Boot zu implementieren. Ich hatte das Thema dann im Beitrag KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a> aufgegriffen, und gewarnt. Denn nach Ausf\u00fchrung der Abhilfema\u00dfnahmen l\u00e4sst sich dies nicht mehr r\u00fcckg\u00e4ngig machen. Alte Boot-Medien k\u00f6nnen auf den betreffenden Ger\u00e4ten nicht mehr im Secure Boot gestartet werden, da die ben\u00f6tigten Anpassungen fehlen.<\/p>\n Die Warnung kommt nicht von ungef\u00e4hr. Administratoren, die in Unternehmen schnell mal Maschinen auf die \u00c4nderungen umstellen, laufen Gefahr, dass \u00e4ltere Bootmedien mit Windows Installationsabbildungen auf diesen Maschinen nicht mehr verwendet werden k\u00f6nnen. Nur Windows 10\/11-Boot-Medien, die die \u00c4nderungen in der .dbx-Datenbank ber\u00fccksichtigen, werden von Secure Boot als g\u00fcltig erkannt und k\u00f6nnen dann noch starten.<\/p>\n Microsoft hat den Support-Beitrag zum Thema Secure Boot inzwischen mehrfach erg\u00e4nzt \u2013 und es gibt einen zweiten Beitrag KB5027455: Guidance for blocking vulnerable Windows boot managers<\/a>, der sich mit dem Blockieren der Eintr\u00e4gen in der dbx befasst. Hier im Blog hatten Administratoren dieses Problem bereits angerissen.<\/p>\n Die Woche hat mich Blog-Leser Andy Wendel diesbez\u00fcglich erneut kontaktiert (danke daf\u00fcr) und meinte:<\/p>\n Hallo Herr Born,<\/p>\n evt. was Interessantes f\u00fcr Sie: Leider nicht gut: Bye bye Secure Boot…<\/p><\/blockquote>\n Gleichzeitig verlinkte er auf den Beitrag Microsoft will take nearly a year to finish patching new 0-day Secure Boot bug<\/a> von Arstechnica, der bereits zum 12. Mai 2023 erschienen ist. Die Kollegen von Arstechnica sprechen meine obigen Ausf\u00fchrungen ebenfalls an und stufen das Ganze so ein, dass Microsoft wohl fast ein Jahr ben\u00f6tigt, bis der Secure Boot-Bug in der Praxis ausger\u00e4umt sei. Als Problem sehen sie, dass die Abhilfema\u00dfnahmen alle Arten von \u00e4lteren Windows-Bootmedien unbrauchbar (da nicht mehr bootf\u00e4hig) mache.<\/p>\n Da die Auswirkungen der Schwachstelle CVE-2023-24932<\/a> begrenzt sind (es wird ja physischer Zugang zum System ben\u00f6tigt, und es sind administrative Berechtigungen erforderlich), h\u00e4lt sich das Risiko in Grenzen, wenn man diesen Fix nicht sofort anwendet. Meine Frage an die Administratoren unter der Leserschaft: Habt ihr diesen Fix bei euch in der Unternehmensumgebung umgesetzt? Und falls ja, wie sind die Erfahrungen in der Praxis? Kein Problem, oder seid ihr mit nicht mehr bootenden Systemen konfrontiert worden?<\/p>\n Die National Security Agency (NSA) der USA hat die Woche wohl Hinweise zum Aufsp\u00fcren des BlackLotus UEFI-Bootkits gegeben.<\/p>\n Ich greife nochmals ein Thema auf, welches uns im Mai 2023 bereits besch\u00e4ftigte. Mit den Mai 2023 Sicherheitsupdates hat Microsoft ja versucht, die Schwachstelle im Secure Boot, die durch die Hackergruppe BlackLotus und deren UEFI-Bootkit ausgenutzt wird, zu schlie\u00dfen. Das … Weiterlesen Versuche zu patchen<\/h2>\n
Wird das ein Alptraum?<\/h2>\n
NSA-Tipps zum BlackLotus UEFI-Bootkit<\/h2>\n
![\"NSA](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/06\/bzbg8Lr.png\")
<\/a>
\nObiger Tweet<\/a> weist beispielsweise auf das Thema hin. The Hacker News hat es in diesem Artikel<\/a> aufgegriffen.<\/p>\n","protected":false},"excerpt":{"rendered":"