Microsoft gibt eine Anleitung zum Blockieren anfälliger Windows-Bootmanager mit der WDAC-UEFI-Sperre

Microsoft hat Anfang dieser Woche Patch-Tuesday-Updates für den Monat Mai 2023 für Windows 10 , Windows 11 und Server veröffentlicht . Daneben veröffentlichte der Technologieriese auch einen Leitfaden zu einer schwerwiegenden Sicherheitslücke. Der Riese aus Redmond hat die BlackLotus UEFI-Sicherheitslücke behoben, die bekanntermaßen Maßnahmen wie Secure Boot, VBS, BitLocker und Defender umgeht. Microsoft hatte zuvor bereits eine Anleitung veröffentlicht, wie man ein durch das BlackLotus UEFI-Bootkit kompromittiertes System erkennt . Ein Bootkit ist im Wesentlichen ein bösartiger Windows-Boot-Manager.

Das Problem wird unter CVE-2023-24932 verfolgt und Microsoft gab an, dass Patch Tuesday die erste Bereitstellungsphase des Sicherheitsupdates markierte . Falls Sie es verpasst haben: Das Unternehmen hat auch einige Änderungen an seinem Support-Artikel unter KB5025885 vorgenommen.

Im Anschluss daran hat Microsoft heute auch einen Leitartikel veröffentlicht, der darlegt, wie man anfällige Windows-Bootmanager oder Bootkits blockieren kann. Das Unternehmen erklärt, dass die Secure Boot DBX-Liste bereits einige der anfälligen UEFI-Anwendungsbinärdateien enthält, aber hinsichtlich des Speichers begrenzt ist, da sie sich im Firmware-Flash-Speicher befindet. Daher kann die DBX- oder UEFI-Sperrliste nur eine begrenzte Anzahl solcher Dateien enthalten. Für diejenigen, die es nicht wissen: Die Secure Boot Forbidden Signature Database oder DBX ist im Grunde eine Sperrliste für ausführbare UEFI-Dateien auf der schwarzen Liste, die sich als fehlerhaft oder schädlich erwiesen haben.

Anstatt sich daher nur auf den Secure Boot DBX zu verlassen, empfiehlt Microsoft die Verwendung der Windows Defender Application Control (WDAC) -Richtlinie, die unter Windows 10 und Windows 11 verfügbar ist. Details zum Erstellen der UEFI-Sperrrichtlinien finden Sie auf der Offizieller Support-Artikel unter KB5027455.