{"id":298088,"date":"2024-08-07T00:03:00","date_gmt":"2024-08-06T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298088"},"modified":"2024-08-07T21:52:29","modified_gmt":"2024-08-07T19:52:29","slug":"achtung-microsofts-uefi-zertifikat-luft-am-19-okt-2026-aus-secure-boot-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/07\/achtung-microsofts-uefi-zertifikat-luft-am-19-okt-2026-aus-secure-boot-betroffen\/","title":{"rendered":"Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich stelle mal ein Thema hier im Blog ein, was noch \"ein paar Tage Zeit hat\", aber arg unangenehme Folgen haben k\u00f6nnte. Im Herbst 2026 l\u00e4uft ein Zertifikat in Windows aus, welches im UEFI daf\u00fcr sorgt, dass der Secure Boot ausgef\u00fchrt werden kann. Zu diesem Zeitpunkt war das Zertifikat 15 Jahre g\u00fcltig, aber alle Maschinen, die nicht aktualisiert werden, werden zum Stichtag nicht mehr im Secure Boot-Modus starten k\u00f6nnen.<\/p>\n

<\/p>\n

Windows und das Secure Boot CA<\/h2>\n

\"\"Ich bin die Tage \u00fcber nachfolgenden Tweet<\/a> von Gunnar Haslinger auf das Thema gesto\u00dfen und stelle es heute mal hier im Blog zur Information ein.<\/p>\n

\"Microsoft<\/a><\/p>\n

Der Sachverhalt, um des es geht, ist mir wenigen Worten beschrieben. Microsoft nutzt ein UEFI-Zertifikat, welches sich in einer Datenbank befindet. Das von Microsoft in Windows propagierte Secure Boot greift auf dieses Zertifikat zu, um die Integrit\u00e4t zu pr\u00fcfen. Secure Boot h\u00e4ngt also von der G\u00fcltigkeit dieses Zertifikats ab. Ist das Zertifikat in der Datei bootmgfw.efi <\/em>auf der UEFI-Partition ung\u00fcltig, kann die Maschine nicht mehr im Secure Boot starten.<\/p>\n

Eine Beschreibung der Secure Boot-Abl\u00e4ufe und -Hintergr\u00fcnde l\u00e4sst sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p><\/blockquote>\n

Das Windows Production PCA 2011<\/h3>\n

Das bisher verwendete Zertifikat wurde aber vor langer Zeit, konkret im Jahr 2011, ausgestellt und l\u00e4uft am Montag, den 19. Oktober 2026, nach 15 Jahren G\u00fcltigkeit, aus. Maschinen, die Secure Boot verwenden und bis zu diesem Zeitpunkt nicht aktualisiert wurden, k\u00f6nnen dann nicht mehr starten. Das d\u00fcrfte vor allem Windows-Systeme betreffen, die keine Updates per Internet erhalten.<\/p>\n

Das Black Lotus-Problem<\/h3>\n

Mit den Sicherheitsupdates von Mai 2023 hat Microsoft ja versucht, die Schwachstelle im Secure Boot, die durch die Hackergruppe BlackLotus und deren UEFI-Bootkit ausgenutzt wird, zu schlie\u00dfen. Die Schwachstelle CVE-2023-24932<\/a> bezieht sich auf eine Sicherheitsl\u00fccke in dem in Windows-Betriebssystemen verwendeten Secure Boot, die das Ausf\u00fchren nicht vertrauensw\u00fcrdiger Software w\u00e4hrend des Startvorgangs erm\u00f6glicht.<\/p>\n

Ich hatte im Blog-Beitrag BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a> berichtet. Und im Beitrag Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a> bin ich auf die Problematik eingegangen, dass Administratoren manuell eingreifen m\u00fcssen, um den Secure Boot abzusichern.<\/p>\n

Neues Windows UEFI CA 2023<\/h2>\n

Um das Problem mit dem auslaufenden Zertifikat zu l\u00f6sen, hat Microsoft das Update KB5025885 zur Absicherung bereitgestellt (siehe KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a> vom Mai 2023). Es gibt zudem einen Supportbeitrag zum Update KB5025885<\/a>, in dem sich der Hinweis findet, doch das Windows-Sicherheitsupdate vom 9. Juli 2024 oder ein sp\u00e4teres kumulatives Sicherheitsupdate unter Windows zu installieren, um die ben\u00f6tigten Absicherungen gegen Black Lotus zu bereitzustellen.<\/p>\n

In diesem Blog-Beitrag findet sich auch der Hinweis, dass mit dem Update ein neues Zertifikat (Windows UEFI CA 2023) bereitgestellt wird, um das alte Windows Production PCA 2011 zu ersetzen. Administratoren in Unternehmensumgebungen finden im Supportbeitrag zu KB5025885<\/a> entsprechende Hinweise, welche Schritte zus\u00e4tzlich auszuf\u00fchren sind. Wer seine Windows-Systeme mit einem Schutz vor Black Lotus und der Secure Boot-Schwachstelle CVE-2023-24932<\/a> versieht, ist auch auf das oben skizzierte Szenario eines auslaufenden UEFI-Zertifikats vorbereitet.<\/p>\n

Im Laufe des Jahres 2024 f\u00fchrt Microsoft dann verschiedene H\u00e4rtungsma\u00dfnahmen aus, die ich im Blog-Beitrag Update zur Windows-H\u00e4rtung in 2024\/2025 \u2013 Stand M\u00e4rz 2024<\/a> angerissen habe. Auf neowin.net gibt es diesen Artikel<\/a>, der ebenfalls auf die H\u00e4rtungsma\u00dfnahmen hinweist.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a>
\nKB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a>
\nUpdate zur Windows-H\u00e4rtung in 2024\/2025 \u2013 Stand M\u00e4rz 2024<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal ein Thema hier im Blog ein, was noch \"ein paar Tage Zeit hat\", aber arg unangenehme Folgen haben k\u00f6nnte. Im Herbst 2026 l\u00e4uft ein Zertifikat in Windows aus, welches im UEFI daf\u00fcr sorgt, dass der Secure Boot … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[24,4328,3288],"class_list":["post-298088","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-problem","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=298088"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298088\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=298088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=298088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=298088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}