Microsoft: Die neuesten Patch-Dienstags bringen SafeOS Dynamic-Updates zur Behebung der Secure Boot-Umgehung

Microsoft hat heute seine Patch Tuesday-Updates für Windows 10 (KB5028166) und Windows 11 (KB5028185) veröffentlicht . Das Unternehmen machte auf seiner Gesundheits-Dashboard-Website eine begleitende Ankündigung, in der es erklärte, dass es seine zweite Phase der Härtung gegen die Sicherheitslücke des BlackLotus UEFI-Bootkits implementiert hat . Microsoft hat außerdem einen Leitfaden veröffentlicht , um Benutzern zu helfen.

Das neueste Update fügt die neuesten SafeOS Dynamic Update-Pakete für WinRE hinzu und ermöglicht eine einfachere automatisierte Bereitstellung von Secure Boot DBX-Sperrdateien. Die Secure Boot Forbidden Signature Database oder Secure Boot DBX von Microsoft ist im Grunde eine Sperrliste für ausführbare UEFI-Dateien auf der schwarzen Liste, die als gefährlich befunden wurden.

Microsoft schreibt :

Mit der Veröffentlichung der Sicherheitsupdates für Windows vom 11. Juli 2023 beginnt die zweite Bereitstellungsphase in KB5025885: So verwalten Sie die Windows-Boot-Manager-Widerrufe für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932 . KB5025885 enthält die manuellen Schritte zum Überprüfen, dass Ihre Umgebung für die Änderungen bereit ist, und Schritte zum Aktivieren der Sicherheitshärtungsänderungen zum Schutz vor Schwachstellen, die von CVE-2023-24932 verfolgt werden und die Secure Boot-Sicherheitsfunktion mithilfe des BlackLotus UEFI-Bootkits umgehen können .

Die zweite Bereitstellungsphase in Updates für Windows, die am 11. Juli 2023 oder später veröffentlicht wurden, fügt Folgendes hinzu:

• Ermöglichen Sie eine einfachere, automatisierte Bereitstellung der Sperrdateien (Code Integrity Boot-Richtlinie und Secure Boot Disallow List (DBX)).
• Neue Ereignisprotokollereignisse werden verfügbar sein, um zu melden, ob die Sperrbereitstellung erfolgreich war oder nicht.
• Dynamisches SafeOS-Updatepaket für Windows Recovery Environment (WinRE).

Microsoft hat auch das Changelog für den Support-Artikel KB5025885 aktualisiert:

11. Juli 2023

• Die Instanzen des Datums „9. Mai 2023“ wurden auf „11. Juli 2023“, „9. Mai 2023 und 11. Juli 2023“ oder auf „9. Mai 2023 oder später“ aktualisiert.
• Im Abschnitt „Bereitstellungsrichtlinien“ stellen wir fest, dass jetzt alle dynamischen SafeOS-Updates für die Aktualisierung von WinRE-Partitionen verfügbar sind. Darüber hinaus wurde das Kästchen VORSICHT entfernt, da das Problem durch die Veröffentlichung der dynamischen SafeOS-Updates behoben wurde.
• Im „3. Wenden Sie den Abschnitt „Widerrufe“ an. Die Anweisungen wurden überarbeitet.
• Im Abschnitt „Fehler im Windows-Ereignisprotokoll“ wird die Ereignis-ID 276 hinzugefügt.

In verwandten Nachrichten fügte Software von Drittanbietern wie Rufus mit ihrem neuesten Beta-Update Erkennung und Warnung für alle derart widerrufenen UEFI-Bootkits hinzu. Außerdem wurde Unterstützung für ZIP64 und mehr hinzugefügt. Auch das Windows-Konfigurationstool NTLite hat solche Bootmanager-Sperrungen hinzugefügt .