Microsoft hat im Nachgang zum Mai Patch-Day für Windows 10, Windows 11 und Windows Server einen Leitfaden für anfällige Boot-Manager veröffentlicht. Erläutert wird, wie man mit der BlackLotus genannten UEFI-Sicherheitslücke umgehen kann.
Mit diesem Patch-Day hat Microsoft endlich reagiert und versucht nun bösartige Bootloader wie die BlackLotus-Malware per Update auszusperren. Seit Monaten ist die Sicherheitslücke bekannt, die das erste jemals entdeckte UEFI-Bootkit hervorbrachte.
Ein Bootkit ist im Grunde ein bösartiger Windows-Bootmanager. Er klinkt sich ganz am Start des Windows-Systems ein und sperrt Gegenmaßnahmen. Mit dem Update ist es daher leider noch nicht wieder vorbei mit der Gefahr. Was die neuen Windows-Updates machen, ist die Sicherheitslücke zuschließen, mit der das UEFI-Bootkit in die Systeme eindringen und dann Sicherheitssoftware wie den Defender aushebeln kann. Einem bereits kompromittierten System hilft das aber nicht weiter.
Ankündigung Rücknahme Bootmanager
"Die verbleibende Schwachstelle besteht darin, dass ein Angreifer mit administrativen Rechten oder physischem Zugriff auf das Gerät den Bootmanager auf eine Version ohne die Sicherheitsbehebung zurücksetzen kann. Diese Rollback-Schwachstelle wird von der BlackLotus-Malware genutzt, um Secure Boot zu umgehen, das in CVE-2023-24932 beschrieben wird. Um dieses Problem zu beheben, werden wir die anfälligen Bootmanager zurückziehen."
Microsoft erklärt jetzt, dass der Patch die erste Phase der Bereitstellung des Sicherheitsupdates markiert. Dazu wurde nun nachträglich ein Leitfaden (KB5027455) veröffentlicht, in dem beschrieben wird, wie man anfällige Windows-Bootmanager oder Bootkits blockieren kann. Dieser Supportbeitrag steht bei Microsoft nur in Englisch zur Verfügung. Daher haben wir einen Teil für euch übersetzt und am Ende des Beitrags angefügt.
Liste nur begrenzt
Laut dem Windows-Team enthält die Secure Boot DBX-Liste bereits einige der anfälligen UEFI-Anwendungs-Binärdateien. Sie verfügt jedoch nur über eine begrenzte Speicherkapazität, da sie sich im Flash-Speicher der Firmware befindet. Daher kann auch die DBX- oder UEFI-Sperrliste nur eine begrenzte Anzahl solcher Dateien enthalten. Die Secure Boot Forbidden Signature Database oder DBX ist die nun wichtig gewordenen Sperrliste für UEFI-Programme, die als schädlich eingestuft wurden.
Anstatt sich nur auf die Secure Boot DBX zu verlassen, rät Microsoft daher zur Verwendung einer ebenfalls überarbeiteten Windows Defender Application Control (WDAC)-Richtlinie, die in Windows 10 und Windows 11 verfügbar ist. Details zur Erstellung der UEFI-Sperrrichtlinien findet man ebenfalls in dem Leitfaden.
KB5027455: Anleitung zum Blockieren, weitere Informationen
Eine Methode, um zu verhindern, dass anfällige EFI-Binärdateien von der Firmware geladen werden, besteht darin, Hashes der anfälligen Anwendungen in die UEFI Forbidden List (DBX) aufzunehmen. Die DBX-Liste wird im von der Firmware verwalteten Flash des Geräts gespeichert. Die Einschränkung dieser Blockierungsmethode ist der begrenzte Flash-Speicher der Firmware, der für die Speicherung der DBX zur Verfügung steht. Aufgrund dieser Einschränkung und der großen Anzahl von Bootmanagern, die blockiert werden müssen Windows-Bootmanager aus den letzten 10+ Jahren), ist es nicht möglich, sich bei diesem Problem ausschließlich auf die DBX zu verlassen.
Für dieses Problem haben wir eine hybride Methode zum Blockieren der anfälligen Bootmanager gewählt. Nur einige wenige Bootmanager, die in früheren Windows-Versionen veröffentlicht wurden, werden dem DBX hinzugefügt. Für Windows 10 und spätere Versionen wird eine Windows Defender Application Control (WDAC)-Richtlinie verwendet, die anfällige Windows-Bootmanager blockiert.
Wenn die Richtlinie auf ein Windows-System angewendet wird, "sperrt" der Bootmanager die Richtlinie für das System, indem er eine Variable zur UEFI-Firmware hinzufügt. Windows-Bootmanager beachten die Richtlinie und die UEFI-Sperre. Wenn die UEFI-Sperre vorhanden ist und die Richtlinie entfernt wurde, wird der Windows-Bootmanager nicht gestartet. Wenn die Richtlinie vorhanden ist, wird der Bootmanager nicht gestartet, wenn er durch die Richtlinie blockiert wurde.
Zusammenfassung
Microsoft reagiert auf BlackLotus-Malware: Update schließt Sicherheitslücke
Leitfaden (KB5027455) bietet Informationen zur Blockierung anfälliger Bootmanager