{"id":197028,"date":"2025-02-14T07:55:17","date_gmt":"2025-02-14T06:55:17","guid":{"rendered":"https:\/\/www.deskmodder.de\/blog\/?p=197028"},"modified":"2025-02-14T12:34:35","modified_gmt":"2025-02-14T11:34:35","slug":"cve-2023-24932-schutzmassnahmen-gegen-das-blacklotus-uefi-bootkit-in-unternehmensumgebungen","status":"publish","type":"post","link":"https:\/\/www.deskmodder.de\/blog\/2025\/02\/14\/cve-2023-24932-schutzmassnahmen-gegen-das-blacklotus-uefi-bootkit-in-unternehmensumgebungen\/","title":{"rendered":"CVE-2023-24932 Schutzma\u00dfnahmen gegen das BlackLotus UEFI-Bootkit in Unternehmensumgebungen"},"content":{"rendered":"

Seit Mai 2023 warnt Microsoft vor dem BlackLotus UEFI-Bootkit als Sicherheitsl\u00fccke. Dadurch ist es m\u00f6glich, unter Verwendung des BlackLotus UEFI-Bootkits die Secure-Boot Funktion aushebeln. Erste Gegenma\u00dfnahmen wurden schon getroffen. Vollst\u00e4ndig umgesetzt werden sie nicht vor Januar 2026.<\/p>\n

\"http:\/\/www.stockvault.net\/photo\/174251\/cyber-security-concept\"<\/a><\/p>\n

Das liegt daran, dass das Microsoft Windows Production PCA 2011 Zertifikat, welches derzeit genutzt wird, aufgehoben und durch das Windows UEFI CA 2023-Zertifikat ersetzt wird. \u00c4ltere Installationsmedien<\/a>, oder auch Bootmedien mit dem alten Zertifikat k\u00f6nnen dann nicht mehr gebootet werden.<\/p>\n

Inzwischen hat Microsoft schon ein PowerShell Skript (Make2023BootableMedia.ps1<\/a>) bereitgestellt, um ISOs mit dem neuen Zertifikat auszustatten. F\u00fcr Unternehmen geht man jetzt einen anderen Weg.<\/p>\n

„Um Unterbrechungen zu vermeiden, plant Microsoft nicht, diese Abschw\u00e4chungen in Unternehmen bereitzustellen, sondern stellt diese Anleitung bereit, damit Unternehmen die Abschw\u00e4chungen selbst anwenden k\u00f6nnen. Dadurch erhalten Unternehmen die Kontrolle \u00fcber den Bereitstellungsplan und den Zeitpunkt der Bereitstellung.“<\/em><\/p>\n

Administratoren in Firmen sollen also immer ein Ger\u00e4t als Test nutzen, ob es Probleme gibt, bevor das neue Zertifikat angewendet wird. „Da es zahlreiche Kombinationen von Ger\u00e4tehardware und -firmware gibt und Microsoft nicht in der Lage ist, alle Kombinationen zu testen, empfehlen wir Ihnen, repr\u00e4sentative Ger\u00e4te in Ihrer Umgebung zu testen, bevor Sie sie auf breiter Basis bereitstellen. Wir empfehlen, dass Sie mindestens ein Ger\u00e4t jedes Typs testen, der in Ihrem Unternehmen verwendet wird.“<\/em><\/p>\n

Im Dokument wurden auch einige bekannte Ger\u00e4teprobleme dokumentiert. Interessant ist an diesem Beitrag von Microsoft: Das Microsoft Windows Production PCA 2011 Zertifikat l\u00e4uft endg\u00fcltig im Oktober 2026<\/strong> ab. Ab diesem Zeitpunkt sind dann alte Medien nicht mehr nutzbar. Das neue Windows UEFI CA 2023-Zertifikat ist dann bis 2038 g\u00fcltig.<\/p>\n

Wie gesagt, diese Anleitung ist nur f\u00fcr die Enterpriseversionen in Unternehmen zust\u00e4ndig. Wir „normalen“ Nutzer k\u00f6nnen vorab das PowerShell-Skript nutzen<\/a>. Alles Weitere wird dann automatisch \u00fcber ein Update ablaufen, indem das alte Zertifikat gesperrt wird<\/a>.<\/p>\n

Quelle: support.microsoft<\/a><\/div>\n

Windows 11 Tutorials und Hilfe<\/h3>\n