{"id":300496,"date":"2024-08-27T13:30:09","date_gmt":"2024-08-27T11:30:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300496"},"modified":"2025-02-21T11:11:49","modified_gmt":"2025-02-21T10:11:49","slug":"frage-blacklotus-schwachstelle-und-ablaufendes-uefi-zertifikat-was-droht-uns","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/27\/frage-blacklotus-schwachstelle-und-ablaufendes-uefi-zertifikat-was-droht-uns\/","title":{"rendered":"Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns?"},"content":{"rendered":"

\"SicherheitIm M\u00e4rz 2024 wurde bekannt, dass das BlackLotus UEFI-Bootkit den Secure Boot in Windows 11 \u00fcberwinden k\u00f6nne. Microsofts Versuch, da etwas per Update zu patchen, ist ziemlich in die Hose gegangen. Weiterhin l\u00e4uft im Oktober 2026 noch ein UEFI-Zertifikat Microsofts ab, welches beim Secure Boot benutzt wird. Das d\u00fcrfte nicht nur Windows-Nutzer betreffen, sondern auch Linux-Administratoren sollten sich mit dem Thema befassen. Droht uns da ein Desaster, oder juckt das bestehende Installationen nicht – das ist die Frage, die einen Blog-Leser und mich umtreibt. Ich stelle das Thema daher hier in der Leserschaft zur Diskussion, die Kommunikation seitens Microsoft ist f\u00fcr nicht alles andere als klar.<\/p>\n

<\/p>\n

R\u00fcckblick auf das BlackLotus-\/UEFI-Thema<\/h2>\n

\"\"Sicherheitsforscher von ESET haben im Fr\u00fchjahr 2024 eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bem\u00e4chtigt. BlackLotus ist wohl die erste UEFI-Bootkit-Malware in freier Wildbahn, die Secure Boot unter Windows 11 (und wohl auch Windows 10) aushebeln kann. Damit kann Malware dann auch den Defender oder Bitlocker und HVCI in Windows deaktivieren. Ich hatte im M\u00e4rz 2024 im Beitrag BlackLotus UEFI-Bootkit \u00fcberwindet Secure Boot in Windows 11<\/a> berichtet.<\/p>\n

Im Mai 2024 versuchte Microsoft dann diese Schwachstelle zu patchen (siehe KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a>), was aber auf einen Alptraum f\u00fcr Administratoren hinaus lief, da viel Handarbeit erforderlich ist. Ich hatte diesen Punkt im Blog-Beitrag Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a> nochmals angesprochen. Das ist der eine Punkt.<\/p>\n

Der zweite Punkt, den ich hier im Blog bereits angesprochen hatte, betrifft ein UEFI-Zertifikat von Microsoft, welches f\u00fcr den Secure Boot zust\u00e4ndig ist. Dieses Zertifikat wird nach 15 Jahren, am 19. Oktober 2026 definitiv ung\u00fcltig. Microsoft plant, ein Windows UEFI CA 2023-Zertifikat auszurollen, um das ablaufende Zertifikat zu ersetzen. Ich hatte das im Blog-Beitrag Achtung: Microsofts UEFI Zertifikat l\u00e4uft am 19. Okt. 2026 aus \u2013 Secure Boot betroffen<\/a> angesprochen.<\/p>\n

Was droht uns im Okt. 2026?<\/h2>\n

Die oben skizzierte Gemengelage ist das, was auch Blog-Leser Daniel umtreibt, und ihn bewogen hat, mir zum 19. August 2024 eine E-Mail mit dem Betreff \"BlackLotus Bootloader Schwachstelle\" zu schreiben. Hier sein Problem:<\/p>\n

Hallo Herr Born,<\/p>\n

wir stehen hier gerade vor einem Problem, das vermutlich viele Administratoren betrifft. Evtl. w\u00e4re das ja einen Artikel wert, um mit Hilfe der anderen Administratoren Licht ins Dunkle zu bringen.<\/p><\/blockquote>\n

In der Mail f\u00fchrt er aus, dass es um die BlackLotus Bootloader Schwachstelle (CVE-2023-24932) geht. Microsoft werde das alte UEFI-Zertifikat aus 2011 (Windows Production PCA 2011) sperren und ein neues Zertifikat aus 2023 (Windows UEFI CA 2023) hinzuf\u00fcgen, so der Leser. Microsoft hat dann im Support-Beitrag KB5025885<\/a> die aufw\u00e4ndigen, manuellen Schritte beschrieben, um die Schwachstelle abzumindern und die \u00c4nderungen zu testen. Daniel treiben nun folgende Fragen um:<\/p>\n