Vorgestern hatten wir darüber berichtet, dass es durch die Sicherheitslücke CVE-2023-24932 dazu kommen kann, dass die Secure Boot-Sicherheitsfunktion umgangen werden kann. Die BlackLotus UEFI-Bootkits können die Secure-Boot Funktion aushebeln. Jetzt hat Microsoft eine weitere Anleitung bereitgestellt, wie man anfällige Bootmanager blockieren kann.
Die erste Anleitung hat Microsoft gestern noch aktualisiert und auch darauf hingewiesen, dass bald neue ISOs bereitgestellt werden. Normalerweise werden solche Lücken über die UEFI Forbidden List (DBX) gesperrt. Aber da es in den letzten Jahren eine große Anzahl von Bootmanagern gibt und der Firmware-Flash-Speicher begrenzt ist, hat man sich auf eine Hybrid-Methode geeinigt.
„Für dieses Problem haben wir eine Hybridmethode zum Blockieren der anfälligen Bootmanager gewählt. Nur einige Bootmanager, die in früheren Windows-Versionen veröffentlicht wurden, werden zum DBX hinzugefügt. Für Windows 10 und spätere Versionen wird eine Windows Defender Application Control (WDAC)-Richtlinie verwendet, die anfällige Windows-Bootmanager blockiert.“
Microsoft selber hat dafür die DbxUpdate.bin auf UEFI.org veröffentlicht. „Diese Hashes enthalten alle zurückgezogenen Windows-Bootmanager, die zwischen Windows 8 und der ersten Version von Windows 10 veröffentlicht wurden und die Code-Integritätsrichtlinie nicht einhalten.“
Microsoft schreibt aber auch: „Es ist äußerst wichtig, dass diese Hashes mit Vorsicht angewendet werden, da sie ein Dual-Boot-System, das mehrere Betriebssysteme und einen dieser Bootmanager verwendet, beschädigen können. Kurzfristig empfehlen wir, dass diese Hashes für jedes System optional angewendet werden.“
Wer es sich einmal in Ruhe durchlesen möchte:
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2, 22H2 (22621), 22H2 (22624) Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Hätte man alles wie bei 2FA lösen können: Ein kleiner physischer Microschalter den man Drücken muss, bevor neue UEFI bootloader oder Firmware installiert werden können.
Klar, in Firmen will niemand rumlaufen und Schalter drücken. Also habt ihr Sicherheit gegen Bequemlichkeit getauscht, ohne zu Bedenken, das die geheimen Keys wie erst kürzlich von Hackern geklaut werden können.
Jetzt habt ihr trotzdem die doppelte Arbeit und werdet alle Monate revocations ins EFI laden. Bis auf zum nächsten Fall einer Firma die Signing-Keys nicht korrekt vor Hackern auf z.B. einem HSM in z.B. einem Tresor schützen wollte.
In Firmen will nicht nur niemand rumlaufen und Schalter drücken, in Firmen kann das möglicherweise gar niemand. Wie soll das auch gehen? Ich manage hier Clients auf nahezu allen Kontinenten. Wenn ich da Firmware verteile, wie soll das gehen? Vorherige Info an alle User in diversen Sprachen, doch bitte unbedingt beim nächsten Neustart irgendeine Taste zu drücken? Und was ist mit denen, die das dann nicht machen?
Deine Idee ist so eine typische Homeuser-Idee. Da mag das funktionieren. Aber im professionellen Umfeld kannst du so etwas komplett knicken.
Nur das man nichts updaten müsste und den Schalter nicht drücken müsste, weil auch die Angreifer nichts ändern könenn. Das es für bequeme Firmen nicht geht, weil diese die lieber Komfort wollen und dafür pseudo-Sicherheit in Kauf nehmen, das schrieb ich ja selbst.
In Firmen kann das ja ein jumper sein, der immer kurzgeschlossen ist um Updates zu erlauben für jeden. Die wollen ja keine Sicherheit, die wollen ja nur Compliance.
„Wir haben alles getan! Die bösen Hacker kamen trotzdem rein.“
Prima für Leute die des Englischen mächtig sind
Ich bins leider nicht gibt es die auch auf Deutsch ?
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-memcm
Die wollen einfach, dass du ein Defender-Richtlinie erstellst mit den Copy&Paste-Werten von deren Website.
Ob das sinnvoll ist kannst du für dich entscheiden. Wer das UEFI ändern kann hat Adminrechte und kann auch den Defender deaktivieren. Siehe Artikel Text zur „Hybridmethode“.
Es gilt hier zu unterscheiden: EFI-Systempartition auf dem Laufwerk und UEFI-Firmware im Flash-Chip des BIOS.
Schöner Bock geschossen, weil einer nicht aufgepasst hat!
Irgendwie ist das alles für relative Laien, zu denen ich in dem Bereich trotz Informatik-Ausbildung auch zähle, völlig undurchsichtig.
Was muss ich denn jetzt *konkret* tun, damit mein System (Dual-Boot Win10 / Linux mit noch ca. 10 VMs) auch über das Jahr 2024 hinaus *auf jeden Fall und ohne Einschränkungen* so weiterläuft wie bisher, dass ich notfalls alte Backups zurückspielen kann, dass meine zahlreichen, mit verschiedenen Windows- und Linux-Versionen sowie ganz verschiedener Software im Laufe der letzten 10 Jahre erstellten Bootmedien weiter (oder wieder) funktionieren — und mein System trotzdem so sicher wie möglich ist?
Ich stelle mir vor, ich gebe das meiner Frau, von Beruf Übersetzerin mit null IT-Kenntnissen, mit einem Dual-Boot-System Win7 / Linux, zu lesen — die würde nicht ein Wort verstehen.
Oder lautet die Antwort: Secure Boot abstellen, Windows-Updates unterbinden? Kann’s ja auch nicht sein.
https://support-microsoft-com.translate.goog/en-us/topic/kb5027455-guidance-for-blocking-vulnerable-windows-boot-managers-522bb851-0a61-44ad-aa94-ad11119c5e91?_x_tr_sl=en&_x_tr_tl=de&_x_tr_hl=de&_x_tr_pto=wapp
Danke für den Link — ist nur für Laien wenig hilfreich.
Ich glaube, der wichtigste Satz ist der letzte:
It is of the utmost importance that these are applied with care because of the risk that they may break a dual boot system that uses multiple operating systems and one of these boot managers. In the short term, we recommend that for any system, these hashes be optionally applied.
Ich hoffe nur, dass ich nicht irgendwann ein nicht mehr bootfähiges System oder ein nicht mehr einspielbares Backup habe, weil ein Windows-Update da etwas verbockt hat.
habe zwar vor Jahren auch selber geschraubt und PCs zusammen gestellt. Dies alles sind für mich Böhmische Wälder und Dörfer. Mein Windows 10 läuft 100%, bekommt alle Updates und so werde ich es auch weiter handhaben.
Anssonsten müssten ja 1000sende von Usern zu kompetenten Geschäften laufen und Ihre Rechner auf Vordermann bringen lassen.
Ist ja bei Microsoft mittlerweile so, das man alles selber machen muss, wie bei den Banken, nur da ist es einfacher und für Laien verständlich. Ich werde jetzt 74 und werde mich mit solchen Dingen nicht mehr belasten. Systeme laufen alle gut und damit ist auch alles gut.
Ist ja bei Microsoft mittlerweile so, das man alles selber machen muss..
Musst du nicht. Im anderen Beitrag hat Microsoft einen Fahrplan veröffentlicht, wann es umgesetzt wird.
https://www.deskmodder.de/blog/2023/05/10/cve-2023-24932-windows-bootmedium-sollte-aktualisiert-werden-wegen-secure-boot-aenderungen/
„Nachdem diese Sperrungen angewendet wurden, können die Geräte mithilfe von Wiederherstellungs- oder Installationsmedien absichtlich nicht mehr gestartet werden, es sei denn, diese Medien wurden mit den Sicherheitsupdates aktualisiert, die am oder nach dem 9. Mai 2023 veröffentlicht wurden.“
Klingt doch sehr nach selbermachen müssen, finde ich. Oder macht Microsoft das Aktualisieren für mich?
Und was bedeutet das denn nun konkret? Wie aktualisiere ich denn ein vor Jahren mal irgendwo als .iso-File heruntergeladenes und dann auf eine DVD gebranntes Tool, damit ich davon auch nach 2024 noch booten kann? Oder ein auf einem ganz anderen Rechner unter Linux erstelltes Bootmedium?
(Ich weiss, ich wiederhole mich, aber die Microsoft-Informationen sagen mir nur: „Du musst damit rechnen, dass MS Dein einwandfrei funktionierendes System zerschiesst, wenn Du diese Updates installierst“.)
Ich habe ja kein Problem gewisse Dinge manuell am System einzudrehen. Voraussetzung ist aber eine brauchbare Anleitung. Das was Microsoft in dem Artikel veröffentlicht hat, ist für mich aber eher eine Beschreibung dessen was gemacht werden kann. Von einer Anleitung im Sinne „Wie wird es gemacht“ ist das aber weit weg.
Da war der andere Artikel mit den einzugebenden Codezeilen deutlicher.
In dem zweiten Artikel geht es um die Aktivierung das UEFI Lock über die SiPolicy. Aber das ist sehr komplex und auch von Faktoren abhängig, welche man meist als Endanwender gar nicht kennt, da das vom UEFI abhängig ist.
nuja… allgemeingültige anleitung:
secureboot einfach im bios abschalten… ist eh im privatbereich ehr überflüssig (wie tpm).
ich benutze es auch nicht… schon immer… genauso wie tpm. (achso: defender ist bei mir deinstalliert-> defender remover)
Ich weiß nicht, da sind Lücken in den Systemen bei Kerberos, SMB, Exchange und Co., da ist ein SecureBoot völlig unwichtig! Kann man abschalten, denn das macht keinen Sinn, genauso wie TPM!