{"id":308796,"date":"2025-02-25T00:03:37","date_gmt":"2025-02-24T23:03:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308796"},"modified":"2025-03-03T18:25:53","modified_gmt":"2025-03-03T17:25:53","slug":"script-zur-secure-boot-absicherung-gegen-cve-2023-24932-black-lotus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/02\/25\/script-zur-secure-boot-absicherung-gegen-cve-2023-24932-black-lotus\/","title":{"rendered":"FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft versucht seit geraumer Zeit den Secure Boot in Windows gegen die Black Lotus-Boot-Kit-Schwachstelle CVE-2023-24932 abzusichern. Nachfolgend eine kurze Zusammenfassung bzw. FAQ, u.a. zum auszutauschenden Zertifikat in den Boot-Medien.\u00a0 Und ein Leser hat mir sein Script zum Zertifikatsaustausch zukommen lassen.<\/p>\n

<\/p>\n

Windows UEFI CA 2023 Zertifikat<\/h2>\n

\"\"Seit langer Zeit versucht Microsoft die Schwachstelle CVE-2023-24932 im Secure Boot von Windows 11 zu schlie\u00dfen, die durch das\u00a0BlackLotus UEFI-Bootkit ausgenutzt wird (siehe \u00a0KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a>).<\/p>\n

Aber es gibt noch ein Problem: Im Oktober 2026 l\u00e4uft ein UEFI-Zertifikat (\"Windows Production PCA 2011\") Microsofts ab, welches beim Secure Boot benutzt wird. Das d\u00fcrfte nicht nur Windows-Nutzer betreffen, sondern auch Linux-Administratoren sollten sich mit dem Thema befassen. Auch hier versucht Microsoft seit geraumer Zeit das Zertifikat zu erneuern (siehe auch Windows 10\/11 KB5053484: Neues PS-Script f\u00fcr Zertifikate in Boot-Medien<\/a>). Administratoren m\u00fcssen reagieren und das neue Zertifikat bis Oktober 2026 im UEFI der Maschinen abgelegt haben.<\/p>\n

Fragen und Antworten zum UEFI-Zertifikat<\/h2>\n

Bolko hatte in diesem Kommentar<\/a> einige Fragen und Antworten rund um den Austausch des UEFI-Zertifikat f\u00fcr den Secure Boot eingestellt (danke daf\u00fcr). Ich ziehe die Informationen mal als FAQ heraus.<\/p>\n

Welches Update enth\u00e4lt das neue UEFI-Zertifikat?<\/h3>\n

Das kumulative Update\u00a0KB5036210<\/a> vom 13. Februar 2024 brachte erstmals das Windows UEFI CA 2023-Zertifikat und die Funktionen mit, um die UEFI Secure Boot Allowed Signature Database (DB) mit dem neuen Schl\u00fcssel zu aktualisieren. Dieses und alle nachfolgenden Updates sollten das\u00a0neue Bootloader-Zertifikat enthalten, was nach Oktober 2026 beim Secure Boot ben\u00f6tigt wird.<\/p>\n

Wie erkenne ich, ob das neue Zertifikat vorhanden ist?<\/h3>\n

Ob Windows das neue Zertifikat integriert hat, sollte man (laut Supportseite<\/a>) an folgendem Registry-Schl\u00fcssel herausfinden k\u00f6nnen:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\\\CurrentControlSet\\Control\\SecureBoot\\Servicing<\/p>\n

Ist dort der 32-Bit-DWORD-Wert WindowsUEFICA2023Capable<\/em> auf 0x40 gesetzt, sollte Windows vorbereitet sein. Mit dem DWORD-Wert 0x0 ist das System nicht f\u00fcr das neue UEFI-Zertifikat bereit.<\/p>\n

Sind UEFI-Signaturen integriert?<\/h3>\n

Die spannende Frage ist, ob ein OEM-Hersteller bereits die neuen Zertifikate im UEFI eines neuen Rechners integriert hat. Dann spart man sich das Patchen. Bolko schreibt, dass man im UEFI kann man selber nachschauen k\u00f6nnen. Dazu das UEFI beim Starten des Rechners (\u00fcber eine Funktionstaste) \u00f6ffnen und in folgenden Optionen schauen:<\/p>\n

secure boot keys -> Authorized Signatures (db) -> search for \"Windows UEFI CA 2023\"<\/p>\n

Detailliertere Informationen zu diesen UEFI-Signaturen findet man, inklusive Downloads f\u00fcr das neue Zertifikat,. bei Microsoft in diesem Dokument<\/a>. Kurzfassung: Man braucht, je Mainboard-Hersteller, einen signierten KEK-Schl\u00fcssel, um diese neuen Signaturen ins UEFI integrieren zu d\u00fcrfen.<\/p>\n

Microsoft bezeichnet das neue Schl\u00fcsselaustausch-Zertifikat als \"Microsoft Corporation KEK CA 2023-Zertifikat\". Alle Mainboard-Hersteller m\u00fcssen dieses Microsoft-Zertifikat runterladen, signieren und wieder zur\u00fcck zu Microsoft hochladen, damit Microsoft dann per Update aus Windows heraus ab dem Jahr 2026 neue DB und DBX-Signaturen ins UEFI schreiben darf. Ohne dieses neue signierte KEK w\u00fcrden die UEFIs die Updates der erlaubten Bootloader-Signatur-Datenbanken verweigern.<\/p>\n

An dieser Stelle verweise ich auf diesen Kommentar<\/a> von Daniel Casota, der noch auf Spezialf\u00e4lle eingeht.<\/p>\n

Und TBR weist in diesem Kommentar<\/a> auf eine Information bei Bleeping Computer hin, dass Boot-Images, die von neueren ADK-Versionen erzeugt wurden, den BlackLotus-Fix bereits enthalten.<\/p><\/blockquote>\n

Weitere Informationen<\/h3>\n

Meinen Kenntnissen nach will Microsoft das alte UEFI Secure-Boot-Zertifikat (\"Windows Production PCA 2011\") mit einem k\u00fcnftigen Update als ung\u00fcltig erkl\u00e4ren. Die sogenannte Erzwingungsphase beginnt aber nicht vor Januar 2026. Allen Lesern empfehle ich den Microsoft Support-Beitrag Verwalten der Windows-Start-Manager-Sperrungen f\u00fcr \u00c4nderungen des sicheren Starts im Zusammenhang mit CVE-2023-24932<\/a> von Mai 2023, da dort viele zus\u00e4tzliche Informationen (u.a. die Zeitpl\u00e4ne f\u00fcr die Erzwingungsphase) zusammen getragen wurden.<\/p>\n

Ein Script zur Zertifikatinstallation<\/h2>\n

Es gab in diesem Kommentarthread<\/a> einen Hinweis auf ein Script zur Zertifikatinstallation. Ich hatte angeboten, das Script zu ver\u00f6ffentlichen – hier die betreffenden Anweisungen. Ein Administrator hat mir folgenden Code zukommen lassen (danke daf\u00fcr).<\/p>\n

@ECHO OFF\r\n@REM\tAutor:RF\r\n@REM\tDatum:31.01.2025\r\n@REM\tKB5025885\r\n\r\nREM TODO\r\nREM reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot \/v AvailableUpdates \/t REG_DWORD \/d 0x40 \/f\r\nREM 2x Reboot\r\nREM\r\nREM powershell -command \"[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'\"\r\nREM\r\nREM reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot \/v AvailableUpdates \/t REG_DWORD \/d 0x100 \/f\r\nREM 2x Reboot\r\nREM\r\nREM mountvol Q: \/s && copy \"Q:\\EFI\\Microsoft\\Boot\\bootmgfw.efi\" \"%TEMP%\\bootmgfw.efi\" && mountvol Q: \/d\r\nREM Signatur von %TEMP%\\bootmgfw.efi pr\u00fcfen\r\nREM\r\nREM reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot \/v AvailableUpdates \/t REG_DWORD \/d 0x80 \/f\r\nREM 2x Reboot\r\nREM\r\nREM powershell -command \"[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'\"\r\nREM\r\nREM reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot \/v AvailableUpdates \/t REG_DWORD \/d 0x200 \/f\r\nREM 2x Reboot\r\n\r\n@ECHO.\r\n@ECHO %~nx0 %*\r\n\r\nREM ****************************************************************************\r\nREM Test Administator Berechtigung\r\n\"%windir%\\System32\\net.exe\" session >nul 2>nul\r\n\"%windir%\\System32\\net.exe\" session >nul 2>nul\r\nREM ECHO ErrorLevel: %errorlevel%\r\n\r\nIF ERRORLEVEL 1 (\r\n  ECHO.\r\n  ECHO Error: %~nx0\r\n  ECHO Administator Berechtigung erforderlich\r\n  ECHO.\r\n  Pause\r\n  Exit \/b\r\n)\r\n\r\nREM ****************************************************************************\r\nSETLOCAL\r\nSET $CWD=%CD%\r\nSET $CERT_OLD=Microsoft Windows Production PCA 2011\r\nSET $CERT_NEW=Windows UEFI CA 2023\r\nSET $OUT=%TEMP%\\~%~n0.txt\r\n\r\nCD \/D \"%~dp0\"\r\nREM CD \/D \"%~1\"\r\n\r\nREM ****************************************************************************\r\nECHO Check new Certificate installed in UEFI db (%$CERT_NEW%)\r\nECHO.\r\n\r\n> \"%$OUT%\" powershell.exe -command \"[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match '%$CERT_NEW%'\"\r\n> NUL \"%windir%\\System32\\find.exe\" \/I \"True\" \"%$OUT%\"\r\nREM ECHO %ERRORLEVEL%\r\nIF \"0\"==\"%ERRORLEVEL%\"\tGOTO :DB_OK\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO ERROR: new Certificate is not installed in UEFI db.\r\nECHO.\r\nSET \/P $ANSWER=\"Do you want to install new Certificate in UEFI db? [Y\/N] \"\r\nIF \/I NOT \"Y\"==\"%$ANSWER%\"\tGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO Add Reg Key\r\nECHO.\r\n\"%windir%\\System32\\REG.EXE\" ADD \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot\" \/v AvailableUpdates \/t REG_DWORD \/d 0x40 \/f\r\n\r\nECHO.\r\nECHO Please reboot twice and run this script again\r\nECHO.\r\nGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\n:DB_OK\r\nECHO new Certificate is installed in UEFI db (%$CERT_NEW%).\r\nECHO.\r\n\r\nREM ****************************************************************************\r\nECHO Check Signature of BootLoader (%$CERT_NEW%)\r\nECHO.\r\n\"%windir%\\System32\\mountvol.exe\" Q: \/S\r\n> NUL COPY \/Y \"Q:\\EFI\\Microsoft\\Boot\\bootmgfw.efi\" \"%TEMP%\\bootmgfw.efi\"\r\n\"%windir%\\System32\\mountvol.exe\" Q: \/D\r\n\r\n> NUL \"%windir%\\System32\\find.exe\" \/I \"%$CERT_NEW%\" \"%TEMP%\\bootmgfw.efi\"\r\nREM ECHO %ERRORLEVEL%\r\nIF \"0\"==\"%ERRORLEVEL%\"\tGOTO :BOOT_OK\r\n\r\n> NUL \"%windir%\\System32\\find.exe\" \/I \"%$CERT_OLD%\" \"%TEMP%\\bootmgfw.efi\"\r\nIF \"0\"==\"%ERRORLEVEL%\"\tECHO BootLoader is signed with old Certificate \"%$CERT_OLD%\"\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO ERROR: BootLoader is not signed with new Certificate.\r\nECHO.\r\nSET \/P $ANSWER=\"Do you want to update the BootLoader? [Y\/N] \"\r\nIF \/I NOT \"Y\"==\"%$ANSWER%\"\tGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO Add Reg Key\r\nECHO.\r\n\"%windir%\\System32\\REG.EXE\" ADD \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot\" \/v AvailableUpdates \/t REG_DWORD \/d 0x100 \/f\r\n\r\nECHO.\r\nECHO Please reboot twice and run this script again\r\nECHO.\r\nGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\n:BOOT_OK\r\nECHO BootLoader is signed with new Certificate (%$CERT_NEW%).\r\nECHO.\r\n\r\nREM ****************************************************************************\r\nECHO Check old Certificate blocked in UEFI dbx (%$CERT_OLD%)\r\nECHO.\r\n\r\n> \"%$OUT%\" powershell.exe -command \"[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match '%$CERT_OLD%'\"\r\n> NUL \"%windir%\\System32\\find.exe\" \/I \"True\" \"%$OUT%\"\r\nREM ECHO %ERRORLEVEL%\r\nIF \"0\"==\"%ERRORLEVEL%\"\tGOTO :DBX_OK\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO ERROR: old Certificate is not blocked in UEFI dbx.\r\nECHO.\r\nSET \/P $ANSWER=\"Do you want to blocked old Certificate in UEFI dbx? [Y\/N] \"\r\nIF \/I NOT \"Y\"==\"%$ANSWER%\"\tGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\nECHO.\r\nECHO Add Reg Key\r\nECHO.\r\n\"%windir%\\System32\\REG.EXE\" ADD \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot\" \/v AvailableUpdates \/t REG_DWORD \/d 0x80 \/f\r\n\r\nECHO.\r\nECHO Please reboot twice and run this script again\r\nECHO.\r\nGOTO :ENDE\r\n\r\nREM ****************************************************************************\r\n:DBX_OK\r\nECHO old Certificate is blocked in UEFI dbx.\r\nECHO.\r\n\r\nREM ****************************************************************************\r\nREM TODO\r\nREM \"%windir%\\System32\\REG.EXE\" ADD \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Secureboot\" \/v AvailableUpdates \/t REG_DWORD \/d 0x200 \/f\r\n\r\nREM ****************************************************************************\r\n:ENDE\r\nECHO bye\r\nPAUSE\r\nCD \/D \"%$CWD%\"\r\nENDLOCAL\r\nGOTO :EOF<\/pre>\n
Der Administrator hat mir mitgeteilt, dass er ca. 50 Rechner mit dem Script umgestellt habe. Nat\u00fcrlich gilt, dass der Code auf Basis As-Is bereitgestellt wird und die Nutzung auf eigene Gefahr erfolgt.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nWindows 10\/11 KB5053484: Neues PS-Script f\u00fcr Zertifikate in Boot-Medien<\/a>
\nKB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a>
\nFrage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>
\nWindows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Microsoft versucht seit geraumer Zeit den Secure Boot in Windows gegen die Black Lotus-Boot-Kit-Schwachstelle CVE-2023-24932 abzusichern. Nachfolgend eine kurze Zusammenfassung bzw. FAQ, u.a. zum auszutauschenden Zertifikat in den Boot-Medien.\u00a0 Und ein Leser hat mir sein Script zum Zertifikatsaustausch zukommen lassen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,3288],"class_list":["post-308796","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308796","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308796"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308796\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}