Microsoft veröffentlicht optionalen Fix für Secure Boot Zero

Jun 29, 2023

Microsoft hat Sicherheitsupdates veröffentlicht, um eine Secure Boot Zero-Day-Schwachstelle zu beheben, die von der BlackLotus UEFI-Malware ausgenutzt wird, um vollständig gepatchte Windows-Systeme zu infizieren.

Secure Boot ist eine Sicherheitsfunktion, die vom OEM nicht vertrauenswürdige Bootloader auf Computern mit Unified Extensible Firmware Interface (UEFI)-Firmware und einem Trusted Platform Module (TPM)-Chip blockiert, um zu verhindern, dass Rootkits während des Startvorgangs geladen werden.

Laut einem Blogbeitrag des Microsoft Security Response Center wurde die Sicherheitslücke (verfolgt als CVE-2023-24932) genutzt, um Patches zu umgehen, die für CVE-2022-21894 veröffentlicht wurden, einen weiteren Secure Boot-Fehler, der letztes Jahr bei BlackLotus-Angriffen missbraucht wurde.

„Zum Schutz vor diesem Angriff ist im Sicherheitsupdate vom 9. Mai 2023 ein Fix für den Windows-Bootmanager (CVE-2023-24932) enthalten, der jedoch standardmäßig deaktiviert ist und keinen Schutz bietet“, sagte das Unternehmen.

„Diese Schwachstelle ermöglicht es einem Angreifer, selbstsignierten Code auf der Unified Extensible Firmware Interface (UEFI)-Ebene auszuführen, während Secure Boot aktiviert ist.

„Dies wird von Bedrohungsakteuren in erster Linie als Persistenz- und Verteidigungs-Umgehungsmechanismus genutzt. Eine erfolgreiche Ausnutzung hängt davon ab, dass der Angreifer physischen Zugriff oder lokale Administratorrechte auf das Zielgerät hat.“

Alle Windows-Systeme, auf denen Secure Boot-Schutz aktiviert ist, sind von diesem Fehler betroffen, einschließlich lokaler, virtueller Maschinen und cloudbasierter Geräte.

Die heute veröffentlichten Sicherheitspatches CVE-2023-24932 sind jedoch nur für unterstützte Versionen von Windows 10, Windows 11 und Windows Server verfügbar.

Um festzustellen, ob Secure Boot-Schutz auf Ihrem System aktiviert ist, können Sie den Befehl msinfo32 an einer Windows-Eingabeaufforderung ausführen, um die Systeminformations-App zu öffnen.

Secure Boot ist aktiviert, wenn auf der linken Seite des Fensters die Meldung „Secure Boot State ON“ angezeigt wird, nachdem Sie „Systemübersicht“ ausgewählt haben.

Die heute von Redmond veröffentlichten Sicherheitsupdates enthalten zwar einen Fix für den Windows-Boot-Manager, sind jedoch standardmäßig deaktiviert und entfernen den bei BlackLotus-Angriffen ausgenutzten Angriffsvektor nicht.

Um ihre Windows-Geräte zu schützen, müssen Kunden ein Verfahren durchlaufen, das mehrere manuelle Schritte erfordert, „um bootfähige Medien zu aktualisieren und Sperren anzuwenden, bevor dieses Update aktiviert wird“.

Um den Schutz für den Secure Boot CVE-2023-24932-Bypass-Fehler manuell zu aktivieren, müssen Sie die folgenden Schritte in genau dieser Reihenfolge ausführen (andernfalls startet das System nicht mehr):

Microsoft verfolgt außerdem einen schrittweisen Ansatz zur Durchsetzung der Schutzmaßnahmen zur Behebung dieser Sicherheitslücke, um die Auswirkungen auf die Kunden aufgrund der Aktivierung des CVE-2023-24932-Schutzes zu verringern.

Der Rollout-Zeitplan umfasst drei Phasen:

Microsoft warnte Kunden außerdem, dass es keine Möglichkeit gibt, die Änderungen rückgängig zu machen, sobald die Abhilfemaßnahmen gegen CVE-2023-24932 vollständig implementiert sind.

„Sobald die Abhilfemaßnahme für dieses Problem auf einem Gerät aktiviert ist, d. h. die Sperrungen angewendet wurden, kann sie nicht mehr rückgängig gemacht werden, wenn Sie weiterhin Secure Boot auf diesem Gerät verwenden“, sagte Microsoft.

„Selbst eine Neuformatierung der Festplatte wird die Sperrungen nicht entfernen, wenn sie bereits angewendet wurden.“

Update: Überarbeiteter Titel, um zu erklären, dass es sich hierbei um eine optionale Korrektur handelt.

Der Quellcode der BlackLotus Windows UEFI-Malware ist auf GitHub durchgesickert

Neue P2PInfect-Wurm-Malware zielt auf Linux- und Windows-Redis-Server ab

CISA weist Regierungsbehörden an, Zero-Day-Angriffe bei Windows und Office einzudämmen

Der Microsoft-Patchdienstag vom Juli 2023 warnt vor 6 Zero-Days und 132 Schwachstellen

Apple behebt Zero-Day-Probleme, die bei der Bereitstellung von Triangulations-Spyware über iMessage auftreten