Windows-Patch mit Secure Boot-Absicherung gegen Black Lotus-Schwachstelle

[Sabine]

Ich hoffe zu diesen Beiträgen gibt es noch weiteren Hinweise:

KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

https://www.chip.de/news/Patch-Folg...n-Sie-sich-auf-den-Notfall-vor_184795242.html

Aufpassen muss m.M.n. jeder, der in seinem UEFI Secure Boot aktiviert hat, aber wahrscheinlich muss jeder mit einem aktuellen UEFI aufpassen. Das Erstellen neuer Bootmedien für BackUp-Pgrogramme und Windows-Installations-USB-Sticks ist Pflicht. Da trifft es sich gut, dass MS das Media Creation Tool für Windows 11 erneuert hat.

Den Patch gibt es übrigens auch für Win 10.

 

[E404]

Es wunderte mich schon seit Tagen, dass in deutschen Foren nichts erschien darüber. In englischen Foren ist das schon seit Tagen ein Thema. Ausgelöst wurde das Ganze durch den BlackLotus UEFI-Bootkit der einen Bypass zu Secureboot macht. Das ist beschrieben in Dokumenten zu CVE-2023-24932.

Es geht um diese Information von Microsoft:
KB5025885: Verwalten der Windows-Start-Manager-Sperrungen für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932 - Microsoft-Support

Im Mai Update wird durch KB5025885 etwas am Secureboot verändert und vorbereitet. Das hat vorläufig noch keine bemerkbaren Auswirkungen.

Die Sicherheit von Secureboot wird erst erhöht, wenn zusätzliche Aktionen ausgeführt werden. Das macht Microsoft gemäss Bulletin anfangs 2024 dann für alle. Was man selber machen kann ist in den Punkten 3 aufgeführt.
Nach dem "Scharfstellen" starten alte startbare Medien nicht mehr

Ich habe das auf einem älteren zur Zeit unbenutzten Computer mit aktuellem Windows 10 Pro ausprobiert.
Zur Verfügung standen mir ein paar Sticks.
W11 Stick erstellt mit Mediacreationtool, Dez.22,
W11 Stick neu erstellt 18.5.23
Macruim-Reflect Bootstick ein paar Monat alt,
Neu erstellten Macrium-Reflect Stick 18.5.23.
Nach dem Installieren der Mai Updates konnten alle diese Sticks starten.
Nach den Ausführen der Aktionen bei Punkt 3 gemäss dem Bulletin startete nur noch der neu erstellte W11 Stick. Alle andern nicht mehr. Bem Macrium-Reflect Stick probierte ich noch eine Neuerstellung nach all diesen Aktionen und probierte auch die Optionen PE oder RE verwenden - auch negativ, startet nicht.
Es ist also schon so wie angekündigt, es muss vorher Abhilfe gemacht werden sonst gibts Probleme mit all den Tools mit denen man eine PC starten möchte. Die Software Firmen sind nun in der Pflicht um Anpassungen zu machen so dass erstellte Bootmedien auch starten. Im Macrium-Reflect Forum gibt es bereits einen Thread dazu, aber noch keine Lösung
Eines ist auch noch wichtig:
Hat man alle Punkte ausgeführt und man hat ein startbares Medium um ein Backup einzuspielen, wird es nichts bringen wenn man ein Backup benutzt das vor dem Mai Update erstellt wurde, der PC wird nicht starten weil im UEFI die Signaturen dazu fehlen oder gesperrt wurden.
Es ist zu erwarten, dass die Foren mit Hilferufen überschwemmt werden machdem Microsoft den letzten Schritt für alle erledigt hat.
All das oben Beschriebene trifft nur zu, wenn Secureboot aktiv ist. Wird das ausgeschaltet, starten auch alte Medien einwandfrei so wie früher auch schon.
Sonst fällt mir nichts mehr ein was im jetzigen Zeitpunkt noch sagen wäre.

 

[Sabine]

Hallo @E404

danke für Deinen sehr ausführlichen Beitrag. Genauso, wie Du es beschrieben hast, habe ich den weiteren Verlauf auch verstanden. Momentan ist der Patch installiert und ruhig gestellt.

Wenn der aktiviert ist, sollte man vorbereitet sein. Und m.M.n. auch dann, wenn man Secure Boot im UEFI abgeschaltet hat (so wie ich momentan).

Probleme sehe ich ganz heftig bei meinem Bootstick für mein BackUp-Programm Paragon BackUp&Recovery 17. Das wird schon lange nicht mehr upgedatet. Und damit sind alle alten BackUps nicht mehr zu gebrauchen.

Es wird spannend, und auch ich denke, die Foren werden davon voll werden.

 

[Elleafar]

Ichgehe mal davon aus, das alle BackUp-Programm-Hersteller ihre Bootmedien der neuen Situation anpassen werden. Bleibt ihnen ja nichts anderes übrig.

Da Paragon auch Kauf-BackUp-Programme hat, wird es für dort ein angepasstes Boormedium geben müssen. Dieses dann in die Free-Version zu integrieren, düfte nicht so schwierig sein. Deswegen bin ich auch guter Dinge bei Paragon BackupRecovery 17, wenn es die Free-Version weiterhin geben wird