» »

BlackLotus Microsoftu povzroča veliko dela

BlackLotus Microsoftu povzroča veliko dela

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj so v Redmondu lansirali popravek (CVE-2023-24932) ... ki pa s seboj nosi goro drobnega tiska.

Ta hip je namreč privzeto izklopljen, nameščanje pa od uporabnika terja nekaj znanja in potrpežljivosti. Julija naj bi se postopek poenostavil, medtem ko naj bi nekje v prvih mesecih prihodnjega leta naposled postal privzet. In kaj (med drugim) napravi? Kodo v UEFI particiji in okenskem registru spremeni na način, da ne zaupa več starejšim, nepopravljenim medijem za namestitev Windowsov. Drugače očitno problema ne morejo rešiti. To pomeni, da ti mediji ne bodo več uporabni na zakrpanih napravah z vključenim Secure Bootom, če jih ne bomo prav tako posodobili, pri čemer sem spada vse od kupljenih inačic operacijskega sistema do varnostnih kopij. Tako bo bržkone še najbolj praktično varnostne slike Oken napraviti ponovno, proizvajalci prenosnikov pa bodo morali ponuditi posodobljene kopije.

4 komentarji

Samael ::

Zanimivo - med drugim, kolikor sem razumel, lahko pozabimo na vse Win 11 medije, ki so bili narejeni predno je MS zahteval MS račun za namestitev.
Samael != Samuel

MrStein ::

je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo


A ni možno z grub-om naložiti (boot-ati) poljubno kodo?

Sem imel USB ključek, ki je startal na SecureBoot in potem naložil karkoli si mu podal (no, nekaj Linux distrotov, pač kar sem rabil).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bbbbbb2015 ::

Samael je izjavil:

Zanimivo - med drugim, kolikor sem razumel, lahko pozabimo na vse Win 11 medije, ki so bili narejeni predno je MS zahteval MS račun za namestitev.


Narobe si razumel. Pod ta "Windows media" se razume windows boot particija.

To v praksi izgleda tako, da daš update in... daš reboot in se sistem več noče bootati. Sploh. Si predstavljaš stres?

Zgleda, da so nekaj spremenili in podpisujejo čisto vse. Če imaš VMWARE ESXi, to zgleda takole:
https://kb.vmware.com/s/article/90947

Se pravi:
a) začasna rešitev je, da IZKLOPIŠ secure boot v BIOSu - ter se podpisi ne bodo preverjali in se bo sistem bootal (torej guest Windows instalacija) - torej izklopiti moraš ESXi opcijo, ne v realnem biosu
b) daš popravek UEFI BIOSa (realni ali v okviru ESXi)
c) ponovno vklopiš secure boot

Zakaj pa stari UEFI BIOSi nočejo bootati novo podpisanih WINDOWS sistemov, pa nisem šel preverjat. Je pa stvar taka, da imam en super-duper laptop, ki ima vklopljeno vse, SECURE BOOT, BIOS lock, kriptiranje particij. To naročnik hoče, da delamo *SAMO* preko tega računalnika. Prav opremo so nam dali, ki mora biti secure-compliant. Če update onesposobi laptop, da se ne boota več, potem pa smo v pošteni riti. Jaz na tem laptopu ne morem nič delati, samo vklopim in izklopim ga lahko.

Je pa ta laptop danes dobil BIOS popravek, tako da verjetno bo sedaj sledil Windows update. Sisterm ima custom-made popravke winsdows.

Je pa recimo problem, če imaš 5-6 let star HP server, ki več nima popravkov BIOSa. Moje razumevanje je, da za zasedaj ŠE DOVOLJUJEJO, da se zažene WIN 11/SERVER 2022 BREZ secure boota. Ko bodo pa to ukinili, pa ne bo več opcije, da izklopiš secure boot, ker ti bodo windowsi napisali, zaštartal si me v ne-varnem načinu - boot cancelled.

Zgodovina sprememb…

Aggressor ::

MrStein je izjavil:

je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo


A ni možno z grub-om naložiti (boot-ati) poljubno kodo?

Sem imel USB ključek, ki je startal na SecureBoot in potem naložil karkoli si mu podal (no, nekaj Linux distrotov, pač kar sem rabil).


Pingvine in slično ja, ne pa tudi Win 11? Fora secure boota je sodelovanje z OSom, da pač njegov boot manager lahko zahteva takšna preverjanja.
en CRISPR na dan odžene zdravnika stran


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov prenosnik med inštalacijo ne zazna ssd diska

Oddelek: Pomoč in nasveti
385619 (4643) solatko
»

SSD upgrade: BIOS najde disk, windows inštalacija ne (strani: 1 2 )

Oddelek: Strojna oprema
6520042 (2280) Mare2
»

UEFI - kako ponovno namestiti windows 8

Oddelek: Pomoč in nasveti
3610812 (8326) krepki
»

Acerjev šef vidno nenavdušen nad Microsoftovim pohodom v hardware (strani: 1 2 3 4 )

Oddelek: Novice / Windows Mobile
17534508 (30921) Icematxyz
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251370 (42433) Icematxyz

Več podobnih tem