image

Microsoft schakelt Secure Boot-update volgend jaar op alle Windowssystemen in

woensdag 10 mei 2023, 14:07 door Redactie, 12 reacties

Microsoft zal de beveiligingsupdate voor een actief aangevallen zerodaylek in Secure Boot die het gisterenavond uitbracht in het eerste kwartaal van volgend jaar op alle Windowssystemen inschakelen. Op dit moment moeten gebruikers en beheerders dit zelf doen. Het beveiligingslek (CVE-2023-24932) maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om Secure Boot te omzeilen.

De BlackLotus-bootkit blijkt misbruik van deze kwetsbaarheid te maken om eigen code op UEFI-niveau uit te voeren, terwijl Secure Boot is ingeschakeld. De beveiligingsmaatregel zou dit juist moeten voorkomen. Microsoft kwam gisteren met een patch, maar die staat standaard uitgeschakeld en gebruikers zijn zodoende niet beschermd. Gebruikers die beschermd willen zijn moeten zelf verschillende acties uitvoeren.

Op 11 juli van dit jaar kom Microsoft met een tweede release van de update die aanvullende opties biedt, die het inschakelen van de bescherming eenvoudiger zouden moeten maken. Op een nog nader te bepalen datum in het eerste kwartaal van 2024 wordt de beveiligingsupdate op alle Windowssystemen ingeschakeld, hoewel Microsoft zegt naar een eerdere uitrol te kijken.

Het techbedrijf claimt deze gefaseerde aanpak te hanteren om te voorkomen dat systemen straks niet meer kunnen opstarten. Secure Boot bepaalt welk bootmedia mag worden geladen bij het initialiseren van het besturingssysteem. Als de beveiligingsupdate niet op de juiste manier wordt ingeschakeld is er een kans dat het systeem niet meer opstart. Als onderdeel van de oplossing voor de Secure Boot bypass (CVE-2023-24932) trekt Microsoft namelijk verschillende bootmanagers in.

Dit heeft verschillende gevolgen. Zo zijn back-ups van Windows die voor de installatie van de beveiligingsupdates van 9 mei zijn gemaakt niet direct te gebruiken voor het herstellen van een Windows-installatie nadat de revocations op de betreffende computer zijn ingeschakeld. Gebruikers moeten dan ook hun bootable media en volledige back-ups van Windows updaten. Nadat de revocations zijn toegepast zal bootable media die niet is geüpdatet niet meer goed werken.

Reacties (12)
10-05-2023, 16:57 door Anoniem
Prima manier om het aantal Windows gebruikers omlaag te krijgen. En prima timing, vlak voor 2025 als de support op Windows 10 afloopt (waar veel mensen niet vanaf kunnen upgraden met hun hardware).

En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
10-05-2023, 21:36 door Anoniem
Door Anoniem: Prima manier om het aantal Windows gebruikers omlaag te krijgen. En prima timing, vlak voor 2025 als de support op Windows 10 afloopt (waar veel mensen niet vanaf kunnen upgraden met hun hardware).

En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
Daarom heet het een wintel platform. Afspraak met INtel om de hardware te vervangen.
10-05-2023, 22:16 door Anoniem
hmmm is zo een shim die grub start toch niet zo stom?
11-05-2023, 00:49 door Anoniem
Precies lekker overstappen op linux dan ben je tenminste weer in bezit van je eigen pc en niet andersom. Ik ben blij dat ik van Windows af ben. Windows zit mij te vol met bloatware en telemetry spionage. Linux Mint en Manjaro zijn prima alternatieven voor wie gemakkelijk naar een windows achtige desktop omgeving over wil stappen.
Van die onzin als smartapp control en TPM2.0 moet je gewoon niet willen. In de toekomst zullen we wel meer hardware matige lockout gaan zien zoals microsoft Pluton. Dan is het niet meer mogelijk om een ander bestuuringssysteem op je laptop of PC te installeren omdat dat op hardware matig niveau uitgeschakeld zal zijn. Ik vraag me af of onze wetgevers hier nog iets tegen gaan ondernemen. Maar de trend lijkt te zijn dat men graag mensen die vrijheid wil ontnemen. Dankzij TPM2.0 en secure boot kan microsoft je straks gewoon uit je eigen systeem locken. aangezien zij die unlock keys in beheer hebben.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.
11-05-2023, 07:39 door Anoniem
En als je die rommel standaard uit hebt staan, gaat M$ deze dan voor je aanzetten en kun je alsnog niet meer bij je data? Ik zie een aantal schadeclaims aankomen richting M$.
11-05-2023, 08:59 door Anoniem
Ik denk dat de gewone gebruiker onbewust dit risico gewoon accepteerd. Een groot deel van de zakelijke gebruikers ook. En alleen organisaties die de expertise hebben en op dit veiligheidsniveau zitten zullen nu hiermee aan de slag gaan. Kortom: men blijft gewoon Windows gebruiken (en ja, dat vind ik zelf ook een 'helaas').
11-05-2023, 09:01 door Anoniem
Door Anoniem: Prima manier om het aantal Windows gebruikers omlaag te krijgen. En prima timing, vlak voor 2025 als de support op Windows 10 afloopt (waar veel mensen niet vanaf kunnen upgraden met hun hardware).

En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
Het is een update voor de mensen die secure boot gebruiken als jij geen secureboot wilt dan neem je geen secureboot.
Huis tuin keuken gebruikers gaan er niks van merken die gaan ook niet zelf hun systeem herstellen en mensen die te maken hebben met serieuse beveiliging eisen die zullen allang een eigen unified kernel gebruiken eigen keys voor validatie en niet vertrouwen op junk als secureboot.

Een systeem dat namelijk beschermd door ingebouwde keys die je niet zelf audit is niet beschermend je weet namelijk niet of de implementatie tainted is. Dan is een Trusted Platform Module nog een stuk veiliger en uitgebreider. En secureboot is lek als een mandje vanaf het moment dat het geintroduceerd was. De Grub2 exploit was een goede demonstratie waarom het bad by design was en het fixen niet makkelijk

Dus ik zie niet hoe dit het aantal Windows gebruikers gaat verlagen huis tuin keuken gebruikers gaan echt niet over naar linux en mac omdat er iets als secureboot op hun systeem staat. Hobyisten doen al wat ze willen en gaan simpelweg nket secureboot inschakelen en profesionele IT gebrukers die hebben allang hun upgrade plannen vastliggen voor de eerste 5 a 10 jaar
11-05-2023, 11:23 door Anoniem
Onbekend maakt onbemind. Ik heb zelf en een windows11 en een linux Ubunbtu computertje.

Door beide operationele systemen door elkander te gebruiken leer je ze allebei beter kennen
en vervolgens ben je minder afhankelijk bij bijvoorbeeld security issues.
Better not to let them fence you in, folks.
Voor je het weet hebben ze je namelijk bij de beer.

En dan is er ook nog wine voor wat Windows apps onder linux te laten draaien.

NT4 gedaan in 2001 met de kernel te midden van l;inux admins,
die over moesten in de transportsector en gezondheidszorg.

#think-out-of-the-box
11-05-2023, 22:09 door Anoniem
Ik ben vooral een voorstander van libreboot. microsoft pluton is het laatste wat we moeyen willen
Helaas is libreboot slechts in beperkte gevallen mogelijk. Libreboot zonder bloated bios en waarbij je de intel management engine en amd secure platform processor deels uit kunt schakelen. Helaas lijkt het met de amd psp nog niet zo makkelijk te zijn en is haswell en ivybridge de laatste generatie waarbij het voor elkaar gekregen is. Of de amd fx bulldozer/piledriver modellen die als laatste gen nog geen amd psp ingebouwd hadden.
het is erg moeilijk om dit op nieuwere hardware voor elkaar te krijgen en vergt veel onderzoek ook werken amd en intel er niet aan mee om de management engine en amd psp te opensourcen.
12-05-2023, 10:15 door Anoniem
Door Anoniem: Ik denk dat de gewone gebruiker onbewust dit risico gewoon accepteerd. Een groot deel van de zakelijke gebruikers ook. En alleen organisaties die de expertise hebben en op dit veiligheidsniveau zitten zullen nu hiermee aan de slag gaan. Kortom: men blijft gewoon Windows gebruiken (en ja, dat vind ik zelf ook een 'helaas').
Ransomware steekt hier een stokje voor. Velen durven het niet te melden. Implodeert vanzelf.
12-05-2023, 20:21 door ErikBrown
Door Anoniem: Van die onzin als smartapp control en TPM2.0 moet je gewoon niet willen. In de toekomst zullen we wel meer hardware matige lockout gaan zien zoals microsoft Pluton. Dan is het niet meer mogelijk om een ander bestuuringssysteem op je laptop of PC te installeren omdat dat op hardware matig niveau uitgeschakeld zal zijn. Ik vraag me af of onze wetgevers hier nog iets tegen gaan ondernemen. Maar de trend lijkt te zijn dat men graag mensen die vrijheid wil ontnemen. Dankzij TPM2.0 en secure boot kan microsoft je straks gewoon uit je eigen systeem locken. aangezien zij die unlock keys in beheer hebben.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.

De complot theorieën vieren weer hoogtij hier. Microsoft is dan wel een dominant bedrijf maar het bestaat toch echt bij de gratie van de klant. Dus zo'n vaart zal het niet lopen.
14-05-2023, 16:48 door Anoniem
Door ErikBrown:
Door Anoniem: Van die onzin als smartapp control en TPM2.0 moet je gewoon niet willen. In de toekomst zullen we wel meer hardware matige lockout gaan zien zoals microsoft Pluton. Dan is het niet meer mogelijk om een ander bestuuringssysteem op je laptop of PC te installeren omdat dat op hardware matig niveau uitgeschakeld zal zijn. Ik vraag me af of onze wetgevers hier nog iets tegen gaan ondernemen. Maar de trend lijkt te zijn dat men graag mensen die vrijheid wil ontnemen. Dankzij TPM2.0 en secure boot kan microsoft je straks gewoon uit je eigen systeem locken. aangezien zij die unlock keys in beheer hebben.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.

De complot theorieën vieren weer hoogtij hier. Microsoft is dan wel een dominant bedrijf maar het bestaat toch echt bij de gratie van de klant. Dus zo'n vaart zal het niet lopen.
Microsoft bestaat door hardware bedrijven onder druk te zetten alleen windows te installeren. De gebruiker snapt er toch niks van. Met ransomware hadden ze geen rekening gehouden :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.