Ankündigung Rücknahme Bootmanager
"Die verbleibende Schwachstelle besteht darin, dass ein Angreifer mit administrativen Rechten oder physischem Zugriff auf das Gerät den Bootmanager auf eine Version ohne die Sicherheitsbehebung zurücksetzen kann. Diese Rollback-Schwachstelle wird von der BlackLotus-Malware genutzt, um Secure Boot zu umgehen, das in CVE-2023-24932 beschrieben wird. Um dieses Problem zu beheben, werden wir die anfälligen Bootmanager zurückziehen."Wie man einen BlackLotus UEFI-Bootkit-Angriff auf dem eigenen Rechner erkennen kann, haben wir bereits in einem Beitrag erläutert.
Microsoft erklärt jetzt, dass der Patch die erste Phase der Bereitstellung des Sicherheitsupdates markiert. Dazu wurde nun nachträglich ein Leitfaden (KB5027455) veröffentlicht, in dem beschrieben wird, wie man anfällige Windows-Bootmanager oder Bootkits blockieren kann. Dieser Supportbeitrag steht bei Microsoft nur in Englisch zur Verfügung. Daher haben wir einen Teil für euch übersetzt und am Ende des Beitrags angefügt.
Liste nur begrenzt
Laut dem Windows-Team enthält die Secure Boot DBX-Liste bereits einige der anfälligen UEFI-Anwendungs-Binärdateien. Sie verfügt jedoch nur über eine begrenzte Speicherkapazität, da sie sich im Flash-Speicher der Firmware befindet. Daher kann auch die DBX- oder UEFI-Sperrliste nur eine begrenzte Anzahl solcher Dateien enthalten. Die Secure Boot Forbidden Signature Database oder DBX ist die nun wichtig gewordenen Sperrliste für UEFI-Programme, die als schädlich eingestuft wurden.Anstatt sich nur auf die Secure Boot DBX zu verlassen, rät Microsoft daher zur Verwendung einer ebenfalls überarbeiteten Windows Defender Application Control (WDAC)-Richtlinie, die in Windows 10 und Windows 11 verfügbar ist. Details zur Erstellung der UEFI-Sperrrichtlinien findet man ebenfalls in dem Leitfaden.
KB5027455: Anleitung zum Blockieren, weitere Informationen
Eine Methode, um zu verhindern, dass anfällige EFI-Binärdateien von der Firmware geladen werden, besteht darin, Hashes der anfälligen Anwendungen in die UEFI Forbidden List (DBX) aufzunehmen. Die DBX-Liste wird im von der Firmware verwalteten Flash des Geräts gespeichert. Die Einschränkung dieser Blockierungsmethode ist der begrenzte Flash-Speicher der Firmware, der für die Speicherung der DBX zur Verfügung steht. Aufgrund dieser Einschränkung und der großen Anzahl von Bootmanagern, die blockiert werden müssen Windows-Bootmanager aus den letzten 10+ Jahren), ist es nicht möglich, sich bei diesem Problem ausschließlich auf die DBX zu verlassen.Für dieses Problem haben wir eine hybride Methode zum Blockieren der anfälligen Bootmanager gewählt. Nur einige wenige Bootmanager, die in früheren Windows-Versionen veröffentlicht wurden, werden dem DBX hinzugefügt. Für Windows 10 und spätere Versionen wird eine Windows Defender Application Control (WDAC)-Richtlinie verwendet, die anfällige Windows-Bootmanager blockiert.
Wenn die Richtlinie auf ein Windows-System angewendet wird, "sperrt" der Bootmanager die Richtlinie für das System, indem er eine Variable zur UEFI-Firmware hinzufügt. Windows-Bootmanager beachten die Richtlinie und die UEFI-Sperre. Wenn die UEFI-Sperre vorhanden ist und die Richtlinie entfernt wurde, wird der Windows-Bootmanager nicht gestartet. Wenn die Richtlinie vorhanden ist, wird der Bootmanager nicht gestartet, wenn er durch die Richtlinie blockiert wurde.
Zusammenfassung
- Microsoft reagiert auf BlackLotus-Malware: Update schließt Sicherheitslücke
- Leitfaden (KB5027455) bietet Informationen zur Blockierung anfälliger Bootmanager
- Secure Boot DBX-Liste enthält begrenzte Anzahl schädlicher Dateien
- Microsoft rät zur Verwendung von Windows Defender Application Control
- Erstellung der UEFI-Sperrrichtlinien in Leitfaden beschrieben
- Kompromittierte Systeme nicht vor Gefahr geschützt