CVE-2023-24932: Windows Bootmedium sollte aktualisiert werden wegen Secure Boot-Änderungen [4. Update]

[Update 27.08.2024]: Kurzer Hinweis. Microsoft hat die Bereitstellungsphase, die auf den 9.07. datiert ist jetzt abgeschlossen. Das End-Datum der Erzwingungsphase steht noch aus. Erst dann wird das Zertifikat „Windows Production PCA 2011“ automatisch widerrufen und wird nicht mehr rückgängig zu machen sein.

Für den Abschluss der Bereitstellungsphase hat Microsoft diesen Hinweis veröffentlicht: „Die Bereitstellungsphase ist jetzt in Kraft und in der aktualisierten KB5025885 dokumentiert. Das Windows-Sicherheitsupdate vom Juli 2024 fügt Unterstützung für Secure Version Number (SVN) hinzu, um ältere Boot-Manager zu blockieren…Der neue Boot-Manager, der mit dem Juli-Update bereitgestellt wird, verfügt über eine neue Funktion für den automatischen Widerruf. Wenn der Bootmanager ausgeführt wird, führt er eine Selbstprüfung durch, indem er die in der Firmware gespeicherte SVN mit der im Bootmanager integrierten SVN vergleicht.“

[Update 19.01.2024]: Microsoft hat den Zeitplan noch einmal überarbeitet und setzt das finale Datum jetzt auf den 8. Oktober 2024. Updates danach lassen keine Maßnahmen mehr zu diese zu deaktivieren. Also bleibt es wie bisher angekündigt beim 4. Quartal.

Sieht so aus, als wenn Microsoft gezielt dieses Datum gewählt hat, weil dort dann die 24H2 erscheint / erscheinen könnte und diese dann direkt abgesichert ist, ohne dass man noch Änderungen vornehmen kann. Die dann „älteren“ Versionen werden dann gleich mitgesichert.

[Update 21.11.2023] Nur zur Info: Vor einiger Zeit hat Microsoft den Zeitplan konkretisiert und noch eine vierte Stufe integriert. Anstatt 4. Quartal wird jetzt der 9. Juli 2024 als finales Datum angegeben, nachdem die Änderung nicht mehr deaktiviert werden kann.

[Update 12.07.2023]: Microsoft hat noch einmal darauf hingewiesen, dass jetzt die zweite Stufe für die Umgehung von Secure Boot (CVE-2023-24932) durch den BlackLotus UEFI-Bootkit begonnen hat.

Wichtig ist für die Nutzer weiterhin, dass mindestens das Sicherheitsupdate Mai, oder höher (also vom gestrigen Patchday) installiert wurde. Weiterhin sollte eine ISO auf einem bootfähigen Stick oder DVD auch mindestens von Mai 2023 oder höher sein. Eigene Änderungen müssen nicht mehr durchgeführt werden. Die deutsche Microsoft-Seite wird sicherlich auch bald dahingehend aktualisiert.

[Original 10.05.2023]: Microsoft hat gestern einen sehr langen Beitrag unter der KB5025885 veröffentlicht, der sich um die Sicherheitslücke CVE-2023-24932 dreht. Dabei handelt es sich um eine Sicherheitslücke durch Umgehung der Secure Boot-Sicherheitsfunktion. Diese Schwachstelle betrifft alle Windows Versionen von 10, 11, Server und auch Linux.

http://www.stockvault.net/photo/174251/cyber-security-concept

Angreifer, die Zugriff auf den Rechner haben, egal ob direkt oder über Remote, kann unter Verwendung des BlackLotus UEFI-Bootkits die Secure-Boot Funktion aushebeln. Dafür ist auch ein Exploit in Umlauf. Daher ist es eine Lücke, die ernst genommen werden muss.

Microsoft hat mit dem gestrigen Patchday angefangen, diese Lücke zu schließen. „Aufgrund der für CVE-2023-24932 erforderlichen und in diesem Artikel beschriebenen Sicherheitsänderungen müssen Sperren auf unterstützte Windows-Geräte angewendet werden. Nachdem diese Sperrungen angewendet wurden, können die Geräte mithilfe von Wiederherstellungs- oder Installationsmedien absichtlich nicht mehr gestartet werden, es sei denn, diese Medien wurden mit den Sicherheitsupdates aktualisiert, die am oder nach dem 9. Mai 2023 veröffentlicht wurden. Dazu gehören sowohl bootfähige Medien, wie z. B. Discs, externe Laufwerke, Netzwerk-Boot-Wiederherstellung und Wiederherstellung von Images.“

Wichtig ist also, dass auch die Bootmedien auf einem Stick oder einer externen Festplatte erneuert werden und das Update vom 9. Mai oder höher enthalten. In unserer rechten Sidebar unter Download-Bereich findet ihr ja die aktuellen ISOs für Windows 10 und Windows 11. In dem Zusammenhang beschreibt Microsoft auch noch weitere Vorgehensweisen. Die lest euch bitte ganz genau durch.

Mit dabei ist auch die Anwendung der Code-Integritäts-Boot-Richtlinie. Die Code Integrity Boot Policy (SKUSiPolicy.p7b) verwendet die Code Integrity-Funktion von Windows, um zu verhindern, dass nicht vertrauenswürdige Windows-Bootmanager geladen werden, wenn Secure Boot aktiviert ist. Diese kann manuell über die Eingabeaufforderung (Administrator) durchgeführt werden. Diese kopiert die Code Integrity Boot Policy in die EFI-Partition des Geräts.

mountvol q: /S 
xcopy %systemroot%\System32\SecureBootUpdates\SKUSiPolicy.p7b q:\EFI\Microsoft\Boot 
mountvol q: /D

Durch den Befehl wird es dann scharf geschaltet Update Mai 2023:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x10 /f

Nach dem Update Juli 2023 wird dieser Befehl nötig sein.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f

Hinweis: Solange die SKUSiPolicy.p7b nicht manuell ausgeführt wurde und auch der Reg-Befehl nicht ausgeführt wurde, brauchen auch die Installationsmedien nicht aktualisiert werden. Erst wenn man beide Befehle ausführt, kommt es dazu, dass Windows nicht von Bootdateien starten kann. Das sollte man derzeit nicht machen. Microsoft bereitet die Änderung nur vor.

Microsoft wird diese Lücke in drei vier Phasen schließen

  • 9.05.2023
  • Updates für Windows, die am oder nach dem 9. Mai 2023 veröffentlicht werden, um die in CVE-2023-24932 beschriebenen Sicherheitslücken zu schließen. (KB5026361 Windows 10, KB5026368 Windows 11 21H2, KB5026372 Windows 11 22H2)
  • Änderungen an den Windows-Boot-Komponenten.
  • Zwei Sperrdateien, die manuell angewendet werden können (eine Code-Integritäts-Richtlinie und eine aktualisierte Secure Boot Disallow List (DBX)).
  • 11.07.2023
  • Ermöglicht eine einfachere, automatische Bereitstellung der Sperrdateien (Code Integrity Boot policy und Secure Boot disallow list (DBX)).
  • Neue Ereignisprotokoll-Ereignisse werden verfügbar sein, um zu melden, ob die Bereitstellung der Sperrdateien erfolgreich war oder nicht.
  • Dynamisches SafeOS-Update-Paket für Window Recovery Environment (WinRE).
  • 9.07.2024 Die Bereitstellungsphase ist jetzt abgeschlossen.
  • Neu Enddatum: Wird erst noch hinzugefügt und enthält: Der Widerruf (Code Integrity Boot policy und Secure Boot disallow list) wird nach der Installation von Windows-Updates auf allen betroffenen Systemen automatisch durchgesetzt und kann nicht mehr deaktiviert werden.

[Update 12.05.23]: Microsoft hat jetzt noch eine weitere Anleitung freigegeben, wie man die anfälligen Bootmanager blockieren kann.

Windows 11 Tutorials und Hilfe

CVE-2023-24932: Windows Bootmedium sollte aktualisiert werden wegen Secure Boot-Änderungen [4. Update]
zurück zur Startseite

99 Kommentare zu “CVE-2023-24932: Windows Bootmedium sollte aktualisiert werden wegen Secure Boot-Änderungen [4. Update]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.

Aktuelle News auf Deskmodder.de
alle News anzeigen
Deskmodder