BlackLotus-Patch: Microsoft kündigt wichtige Bereitstellungsphase an
Microsoft hatte bereits im Mai vergangenen Jahres damit begonnen, wichtige Sicherheits-Updates für Windows bereitzustellen, die eine UEFI-Schwachstelle schließen und anfällige Bootmanager einer Sicherheitshärtung vollziehen. Es geht um die "BlackLotus"-Schwachstelle.
Microsoft hat nun die Bereitstellungsphase der Abminderung der BlackLotus UEFI Secure-Boot-Schwachstelle angekündigt, die als CVE-2023-24932 bekannt ist.
Das vorherige Update für BlackLotus-Patches wurde im April 2024 veröffentlicht, was als Bewertungsphase definiert wurde. Nun startet mit dem Patch-Day die Schließung der Lücke für weitere Nutzer. Das Problem dabei: Mit dem Update des Bootmanagers allein ist es nicht getan, und es betrifft auch Nutzer der Home- oder Pro-Versionen, nicht nur Windows Server und Unternehmens-Varianten.
Microsoft schreibt dazu in einem umfangreichen Support-Dokument:
"Abhilfemaßnahmen gegen die in CVE-2023-24932 beschriebene Umgehung von Secure Boot sind in den Windows-Sicherheitsupdates enthalten, die am oder nach dem 9. Juli 2024 veröffentlicht wurden. Diese Abhilfemaßnahmen sind jedoch nicht standardmäßig aktiviert. Wir empfehlen, dass Sie mit diesen Updates beginnen, diese Änderungen in Ihrer Umgebung zu evaluieren. Der vollständige Zeitplan ist im Abschnitt Zeitplan der Updates beschrieben."
Dort findet man den Hinweis, dass am 9. Juli die Bereitstellungsphase begonnen hat. Weiter heißt es: "In dieser Phase ermutigen wir unsere Kunden, mit der Implementierung der Abhilfemaßnahmen und der Verwaltung der Medienaktualisierungen zu beginnen." In wenigen Wochen startet dann voraussichtlich die letzte Erzwingungsphase, durch die die Risikominderungen dauerhaft werden. Diese Phase beginnt frühestens am 8. Oktober 2024.
FAQ zu Windows 11 Anleitungen, Tipps und Tricks
Siehe auch:
Secure Boot umgangen
Anfang 2023 machte die Meldung die Runde, dass ein erstes UEFI-Bootkit aufgetaucht ist, das die Windows-Secure-Boot-Funktion überwinden kann und so zu einer Gefahr für Anwender weltweit wird. Microsoft schloss einige Bootmanager aus, veröffentlichte daraufhin verschiedene neue Absicherungen, die Secure Boot "härten" sollten - und jetzt startet wie geplant die nächste Phase.Microsoft hat nun die Bereitstellungsphase der Abminderung der BlackLotus UEFI Secure-Boot-Schwachstelle angekündigt, die als CVE-2023-24932 bekannt ist.
Das vorherige Update für BlackLotus-Patches wurde im April 2024 veröffentlicht, was als Bewertungsphase definiert wurde. Nun startet mit dem Patch-Day die Schließung der Lücke für weitere Nutzer. Das Problem dabei: Mit dem Update des Bootmanagers allein ist es nicht getan, und es betrifft auch Nutzer der Home- oder Pro-Versionen, nicht nur Windows Server und Unternehmens-Varianten.
Microsoft schreibt dazu in einem umfangreichen Support-Dokument:
"Abhilfemaßnahmen gegen die in CVE-2023-24932 beschriebene Umgehung von Secure Boot sind in den Windows-Sicherheitsupdates enthalten, die am oder nach dem 9. Juli 2024 veröffentlicht wurden. Diese Abhilfemaßnahmen sind jedoch nicht standardmäßig aktiviert. Wir empfehlen, dass Sie mit diesen Updates beginnen, diese Änderungen in Ihrer Umgebung zu evaluieren. Der vollständige Zeitplan ist im Abschnitt Zeitplan der Updates beschrieben."
Dort findet man den Hinweis, dass am 9. Juli die Bereitstellungsphase begonnen hat. Weiter heißt es: "In dieser Phase ermutigen wir unsere Kunden, mit der Implementierung der Abhilfemaßnahmen und der Verwaltung der Medienaktualisierungen zu beginnen." In wenigen Wochen startet dann voraussichtlich die letzte Erzwingungsphase, durch die die Risikominderungen dauerhaft werden. Diese Phase beginnt frühestens am 8. Oktober 2024.
Aktualisierungen umfassen folgende Änderungen:
- Hinzufügen von Unterstützung für Secure Version Number (SVN) und Festlegen der aktualisierten SVN in der Firmware.
- Im Folgenden finden Sie eine Übersicht über die Schritte zur Bereitstellung in einem Unternehmen.
- Hinweis: Weitere Anleitungen werden in späteren Aktualisierungen dieses Artikels veröffentlicht.
- Stellen Sie die erste Mitigation auf allen Geräten im Unternehmen oder einer verwalteten Gruppe von Geräten im Unternehmen bereit. Dies umfasst:
- Entscheidung für die erste Abschwächung, die der Gerätefirmware das Signierungszertifikat "Windows UEFI CA 2023" hinzufügt.
- Überwachung, dass die Geräte das "Windows UEFI CA 2023"-Signaturzertifikat erfolgreich hinzugefügt haben.
- Bereitstellen der zweiten Abschwächung, die den aktualisierten Bootmanager auf das Gerät anwendet.
- Aktualisieren Sie alle Wiederherstellungs- oder externen bootfähigen Medien, die mit diesen Geräten verwendet werden.
- Setzen Sie die dritte Abschwächung ein, die den Widerruf des "Windows Production CA 2011"-Zertifikats ermöglicht, indem Sie es der DBX in der Firmware hinzufügen.
- Setzen Sie die vierte Abschwächung ein, die die sichere Versionsnummer (SVN) in der Firmware aktualisiert.
Was ist BlackLotus und was ist ein Bootkit?
Ein Bootkit ist im Grunde ein bösartiger Windows-Bootmanager. Er klinkt sich ganz am Start des Windows-Systems ein und sperrt Gegenmaßnahmen. BlackLotus ist die Sicherheitslücke, die den Zugriff auf den Bootmanager ermöglicht.
Wie erkennt man den UEFI-Bootkit-Hack?
Hinweise auf BlackLotus-UEFI-Bootkit-Infektion sind:
Da BlackLotus bösartige Bootloader-Dateien in die EFI-Systempartition, auch ESP genannt, schreiben muss, werden diese Dateien gesperrt, um ihr Löschen oder ihre Änderung zu verhindern. Kürzlich geänderte und gesperrte Dateien im ESP-Speicherort, insbesondere wenn sie mit bekannten BlackLotus-Bootloader-Dateinamen übereinstimmen, "sollten als höchst verdächtig betrachtet werden", so Microsoft. Es gibt dazu im Windows Security-Blog eine ausführliche Anleitung mit vielen Tipps.
- Kürzlich erstellte und gesperrte Bootloader-Dateien
- Vorhandensein eines Staging-Verzeichnisses, das während der BlackLotus-Installation im Dateisystem EPS:/ verwendet wird
- Änderung des Registrierungsschlüssels für die Hypervisor-geschützte Code-Integrität (HVCI)
- Netzwerk-Protokolle
- Boot-Konfigurationsprotokolle
- Artefakte der Boot-Partition
Da BlackLotus bösartige Bootloader-Dateien in die EFI-Systempartition, auch ESP genannt, schreiben muss, werden diese Dateien gesperrt, um ihr Löschen oder ihre Änderung zu verhindern. Kürzlich geänderte und gesperrte Dateien im ESP-Speicherort, insbesondere wenn sie mit bekannten BlackLotus-Bootloader-Dateinamen übereinstimmen, "sollten als höchst verdächtig betrachtet werden", so Microsoft. Es gibt dazu im Windows Security-Blog eine ausführliche Anleitung mit vielen Tipps.
Zusammenfassung
- Microsoft startet Phase zur Behebung der BlackLotus-Schwachstelle
- UEFI-Sicherheitsupdates seit Mai letztes Jahr verfügbar
- Erstes UEFI-Bootkit überwindet Windows-Secure-Boot
- Neue Sicherheitsmaßnahmen für Bootmanager eingeführt
- Patch-Day bringt Schließung der Lücke für weitere Nutzer
- Support-Dokument empfiehlt Evaluierung der neuesten Updates
- Endgültige Erzwingungsphase beginnt frühestens am 8. Oktober 2024
Siehe auch:
- Windows 10 und 11: Neue Sicherheits-Patches für ältere Intel-CPUs
- Nach Windows-Patch-Day: Secure Boot-Problem weitet sich aus
- Boot-Fehler nach Windows Patch: Secure Boot auf VMware bricht ab
- Diese neue Windows-10-Option startet zum Patch-Day Februar
- Alle Infos zum Microsoft Februar-Patch-Day für Windows 10/11
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
- Doppelrumpfdesign: So soll Aerodynamik von Flugzeugen besser werden
- Erster bemannter Flugzeugflug mit Feststoffbatterien ist gelungen
- Mamma Mia! Besonderes Super Mario Bros. für Rekordsumme ersteigert
- Großer Juni-Sale: Media Markt und Saturn senken massiv die Preise
- Strenge Abgasnormen: Hardware-Update macht Dieselmotoren sauberer
- Metas neues KI-Team ist ein "seelenzerstörender Gulag", so Insider
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen