Microsoft: laatste patch-dinsdagen brengen SafeOS Dynamic-updates om Secure Boot-bypass te repareren

Eerder vandaag bracht Microsoft zijn Patch Tuesday-updates uit voor Windows 10 (KB5028166) en Windows 11 (KB5028185) . Het bedrijf maakte op zijn gezondheidsdashboardwebsite een begeleidende aankondiging om uit te leggen dat het zijn tweede fase van verharding heeft ingezet tegen het BlackLotus UEFI-bootkit-beveiligingslek . Microsoft heeft ook een begeleidingspost gepubliceerd om gebruikers te helpen.

De nieuwste update voegt de nieuwste SafeOS Dynamic Update-pakketten voor WinRE toe en zorgt voor eenvoudigere geautomatiseerde implementatie van Secure Boot DBX-intrekkingsbestanden. De Secure Boot Forbidden Signature Database of Secure Boot DBX van Microsoft is in feite een blokkeerlijst voor op de zwarte lijst geplaatste UEFI-uitvoerbare bestanden die gevaarlijk bleken te zijn.

Microsoft schrijft :

De release van de beveiligingsupdates voor Windows van 11 juli 2023 start de tweede implementatiefase in KB5025885: Hoe de intrekkingen van Windows Boot Manager voor Secure Boot-wijzigingen in verband met CVE-2023-24932 te beheren . KB5025885 bevat de handmatige stappen om te controleren of uw omgeving klaar is voor de wijzigingen en stappen om de beveiligingsverhardende wijzigingen in te schakelen om te beschermen tegen kwetsbaarheden die worden gevolgd door CVE-2023-24932 die de Secure Boot-beveiligingsfunctie kunnen omzeilen met behulp van de BlackLotus UEFI- bootkit .

De tweede implementatiefase in updates voor Windows uitgebracht op 11 juli 2023 of later voegt het volgende toe:

• Zorg voor een eenvoudigere, geautomatiseerde implementatie van de intrekkingsbestanden (Code Integrity Boot-beleid en Secure Boot disallow list (DBX)).
• Nieuwe Event Log-gebeurtenissen zullen beschikbaar zijn om te rapporteren of de intrekkingsimplementatie succesvol was of niet.
• SafeOS dynamisch updatepakket voor Window Recovery Environment (WinRE).

Microsoft heeft ook de changelog voor het ondersteuningsartikel KB5025885 bijgewerkt:

11 juli 2023

• De instanties van de datum ‘9 mei 2023′ zijn bijgewerkt naar ’11 juli 2023’, ‘9 mei 2023 en 11 juli 2023’ of naar ‘9 mei 2023 of later’.
• In de sectie “Richtlijnen voor implementatie” merken we op dat alle dynamische updates van SafeOS nu beschikbaar zijn voor het updaten van WinRE-partities. Bovendien is het vak VOORZICHTIG verwijderd omdat het probleem is opgelost door de release van de dynamische updates van SafeOS.
• In de “3. TOEPASSING van de intrekkingen”sectie, zijn de instructies herzien.
• In het gedeelte “Windows-gebeurtenislogboekfouten” is gebeurtenis-ID 276 toegevoegd.

In gerelateerd nieuws voegde software van derden, zoals Rufus, met zijn nieuwste bèta-update detectie en waarschuwing toe voor al dergelijke ingetrokken UEFI-bootkits. Het heeft ook ondersteuning toegevoegd voor ZIP64 en meer. Windows-configuratietool, NTLite, heeft ook dergelijke intrekkingen van de opstartmanager toegevoegd .