KB4535680 Sicherheitsupdate für Secure Boot DBX bis Windows 10 1909 x64

Microsoft hat gestern noch ein weiteres Sicherheitsupdate bereitgestellt. Die KB 4535680 ist als Sicherheitsupdate für Secure Boot DBX für die x64 Version vom Windows Server 2012 (R2), 2016 und 2019, Windows 8.1, sowie Windows 10 1909, 1809, 1803, 1607 und 1507. Mit diesem Update werden Schwachstellen in Secure Boot behoben.

Bekannte Probleme

  • Einige OEM-Firmware (Original Equipment Manufacturer) lässt die Installation dieses Updates möglicherweise nicht zu. Um dieses Problem zu beheben, wenden Sie sich an Ihren Firmware-OEM.
  • Wenn die BitLocker-Gruppenrichtlinie „Configure TPM platform validation profile for native UEFI firmware configurations“ (TPM-Plattform-Validierungsprofil für native UEFI-Firmware-Konfigurationen konfigurieren) aktiviert und PCR7 per Richtlinie ausgewählt ist, kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist.
  • Um den Status der PCR7-Verbindung anzuzeigen, führen Sie das Tool Microsoft System Information (Msinfo32.exe) mit administrativen Berechtigungen aus.
  • Wichtig Das Ändern des standardmäßigen Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Geräts aus. Die Empfindlichkeit von BitLocker gegenüber (böswilligen oder autorisierten) Plattformänderungen wird je nach Einbeziehung bzw. Ausschluss der PCRs erhöht oder verringert. Wenn Sie diese Richtlinie ohne PCR7 festlegen, wird die Gruppenrichtlinie „Secure Boot für Integritätsüberprüfung zulassen“ außer Kraft gesetzt. Dadurch wird verhindert, dass BitLocker Secure Boot für die Integritätsüberprüfung der Plattform oder der Boot-Konfigurationsdaten (BCD) verwendet. Das Festlegen dieser Richtlinie kann zu einer Wiederherstellung von BitLocker führen, wenn die Firmware aktualisiert wird. Wenn Sie diese Richtlinie so einstellen, dass sie PCR0 einschließt, müssen Sie BitLocker anhalten, bevor Sie Firmware-Aktualisierungen anwenden.
  • Wir empfehlen, diese Richtlinie nicht zu konfigurieren, sondern Windows das PCR-Profil für die beste Kombination aus Sicherheit und Benutzerfreundlichkeit basierend auf der verfügbaren Hardware auf jedem Gerät auswählen zu lassen.
    • Workaround: Um dieses Problem zu umgehen, führen Sie je nach Credential Guard-Konfiguration einen der folgenden Schritte aus, bevor Sie dieses Update bereitstellen:
    • Führen Sie auf einem Gerät, auf dem Credential Gard nicht aktiviert ist, den folgenden Befehl von einer Administrator-Eingabeaufforderung aus, um BitLocker für einen Neustart zu deaktivieren:
Manage-bde –Protectors –Disable C: -RebootCount 1
  • Starten Sie dann das Gerät neu, um den BitLocker-Schutz wieder aufzunehmen.
  • Hinweis Aktivieren Sie den BitLocker-Schutz nicht, ohne das Gerät zusätzlich neu zu starten, da dies zu einer BitLocker-Wiederherstellung führen würde.
  • Auf einem Gerät, auf dem Credential Guard aktiviert ist, kann es während der Aktualisierung zu mehreren Neustarts kommen, die ein Aussetzen von BitLocker erfordern. Führen Sie den folgenden Befehl von einer Administrator-Eingabeaufforderung aus, um BitLocker für 3 Neustarts auszusetzen.
Manage-bde –Protectors –Disable C: -RebootCount 3
  • Dieses Update wird das System voraussichtlich zwei Mal neu starten. Starten Sie das Gerät noch einmal neu, um den BitLocker-Schutz wieder aufzunehmen.
  • Hinweis Aktivieren Sie den BitLocker-Schutz nicht ohne zusätzlichen Neustart, da dies zu einer Wiederherstellung von BitLocker führen würde.

Behobene Probleme durch die KB4535680

  • Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot ausgeführt werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Dieses Update fügt Module zur DBX hinzu.
  • Es besteht eine Schwachstelle zur Umgehung von Sicherheitsfunktionen in Secure Boot. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden.
  • Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem es die Signaturen der bekannten anfälligen UEFI-Module zur DBX hinzufügt. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability.

Info und Download:

Danke an DBX für den Hinweis

KB4535680 Sicherheitsupdate für Secure Boot DBX bis Windows 10 1909 x64
weitere Artikel zu diesem Thema
zu den aktuellen News

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.