image

Microsoft komt met plan voor intrekken kwetsbare Windows-bootmanagers

donderdag 25 april 2024, 15:04 door Redactie, 16 reacties

Microsoft is al enige tijd bezig met een plan om kwetsbare Windows-bootmanagers in te trekken, om systemen zo tegen aanvallen met de BlackLotus-malware te beschermen. Een eerdere mitigatie die Microsoft vorig jaar uitbracht is te omzeilen, zo stelt het bedrijf in een nieuwe blogposting. Daarom gaat Microsoft een eigen certificaatautoriteit intrekken, maar dat kan ervoor zorgen dat systemen straks niet meer kunnen opstarten.

De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Vorig jaar kwam Microsoft met een mitigatie, maar die is te omzeilen.

Daarom gaat het techbedrijf de Microsoft Windows Production PCA (Product Certificate Authority) 2011 intrekken. Dit zal door middel van een DBX-update worden gedaan. Dit heeft echter tot gevolg dat op systemen waarop secure boot staat ingeschakeld, het systeem niet meer kan opstarten via een Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011.

Het gaat dan ook om het opstarten via bestaande herstelmedia, usb-media en network boot (WSD/PXE/HTTP) servers waarvan de bootmanager niet is bijgewerkt. Microsoft verwacht met name problemen met PXE boot. "Dat komt doordat je binaries die via PXE worden aangeboden niet kan updaten totdat alle machines ondersteund door de network boot server zijn geüpdatet om de nieuwe database-update te gebruiken", legt Microsofts Sochi Ogbuanya uit. Het techbedrijf heeft een plan van aanpak gepubliceerd hoe organisaties en gebruikers met deze DBX-update kunnen omgaan.

Reacties (16)
25-04-2024, 15:12 door Johneeltje
Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.
25-04-2024, 15:33 door Anoniem
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.
Kwalijke zaak voor de nieuwkomers op het platform, een hogere drempel/direct om, dual boot is juist zo geschikt voor de overstap (in het geval je het e.e.a nog moet uitzoeken aan alternatieve software e.d)
25-04-2024, 15:35 door Anoniem
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Je moet je meer inlezen. Want het is helemaal niet zo dat "dus dualboot niet meer mogelijk is".

Of gewoon geen secure boot gebruiken als dat voor jou geen toegevoegde waarde heeft.
25-04-2024, 15:45 door Anoniem
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.
Vraag mij af of het wettelijk is dart Microsoft bepaalt dat je geen duaLboot kunt doen op je pc/laptop, omdat hun os aangevallen kan worden door Blacklotus malware.
Is dat probleem niet op een andere manier op te lossen waar klanten minder last van hebben?
25-04-2024, 16:01 door Anoniem
Dualboot blijft gewoon mogelijk. Snap ook niet helemaal wat dit met dit verhaal te maken heeft.
25-04-2024, 16:16 door Anoniem
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.
Vraag mij af of het wettelijk is dart Microsoft bepaalt dat je geen duaLboot kunt doen op je pc/laptop, omdat hun os aangevallen kan worden door Blacklotus malware.
Is dat probleem niet op een andere manier op te lossen waar klanten minder last van hebben?
Dit heeft niks met dual boot mogelijkheid op zich te maken maar met eerder uitgegeven certificering van een image met een kwetsbare CA signature en dan ook nog hele specifieke. *Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011.*

Je kunt simpelweg opnieuw signen zelfs met eigen signatures en server. Plus de meeste die uberhaubt dual boot gebruiken hebben geen UEFI secure boot en bitlocker aanstaan. Simpelweg omdat die ubehaubt niet snappen hoe ze hun dual boot ermee werkend krijgen omdat ze nog nooit manual signing hebben gedaan.

De meeste huis tuin keuken gidsjes over dual boot zullen zeggen dat je secure boot uit moet zetten voor je start. Dat is nonesense maar het zegt genoeg over het kennis niveau van die schrijvers weer.
25-04-2024, 19:42 door Anoniem
Door Anoniem: Dualboot blijft gewoon mogelijk. Snap ook niet helemaal wat dit met dit verhaal te maken heeft.

omdat mensen ervaring hebben met het beest microsoft
25-04-2024, 20:41 door Anoniem
Ubuntu kan kennelijk twee verschillende secure boot paden tegelijk volgen. Zie changelog hieronder. Waarom kan een groot bedrijf als Microsoft dit niet?

In https://packages.ubuntu.com/noble/amd64/shim-signed/filelist staan ze allebei, de oude en de nieuwe shim. Naast elkaar in dezelfde package.

shim-signed (1.52) kinetic; urgency=medium

* New upstream version 15.7 (LP: #1996503)
- SBAT level: shim,3
- SBAT policy bumped to for grub,2 in previous and grub,3 in latest:
SBAT policy: latest="shim,2\ngrub,3\n" previous="grub,2\n"
* SECURITY FIX: Buffer overflow when loading crafted EFI images.
- CVE-2022-28737
* debian/control: Depend on new grub versions (1.191 on lunar+, 1.187.2 elsewhere)
* Break fwupd-signed signed with old keys
* Check for revoked fb,mm binaries in build, grubs, fwupd in autopkgtest
* Install both previous and latest shim as alternatives. On secure boot
systems, if the current kernel or any newer one is revoked, the previous
shim will continue to be used until current kernel and all newer ones
are signed with a non-revoked key.

-- Julian Andres Klode <snip> Thu, 26 Jan 2023 13:03:25 +0100

Overigens, Ubuntu 24.04 LTS is vandaag net uitgekomen. Als iemand met de LiveCD wil spelen. Het kan zijn dat de mirrors nog traag zijn maar BitTorrent zou heel snel moeten gaan.
25-04-2024, 22:29 door Anoniem
Door Anoniem:
Door Anoniem: Dualboot blijft gewoon mogelijk. Snap ook niet helemaal wat dit met dit verhaal te maken heeft.

omdat mensen ervaring hebben met het beest microsoft
Nee, de mensen willen graag werken en niet van alles uitzoeken op Linux gebied.
25-04-2024, 23:38 door Anoniem
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Ik heb Linux geïnstalleerd op disk A, die gedisconnect, Windows geïnstalleerd op disk B. Daarna beide disks weer aangesloten. Dual boot is nu gewoon een kwestie van F11 indrukken tijdens de boot en vanuit het boot menu de juiste disk kiezen mocht ik Windows willen booten.
26-04-2024, 10:22 door Anoniem
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.
Vraag mij af of het wettelijk is dart Microsoft bepaalt dat je geen duaLboot kunt doen op je pc/laptop, omdat hun os aangevallen kan worden door Blacklotus malware.
Is dat probleem niet op een andere manier op te lossen waar klanten minder last van hebben?
Microsoft rules!
26-04-2024, 10:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dualboot blijft gewoon mogelijk. Snap ook niet helemaal wat dit met dit verhaal te maken heeft.

omdat mensen ervaring hebben met het beest microsoft
Nee, de mensen willen graag werken en niet van alles uitzoeken op Linux gebied.
Trol opmerking. Waar is dat goed voor? Het is ook andersom. Je moet uitzoeken hoe signing werkt en plan van aanpak bestuderen anders boot je windows niet meer.
Onder Linux hoef je niks te doen want de BlackLotus-malware maakt gebruik van een kwetsbaarheid in windows.
26-04-2024, 13:09 door Anoniem
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Ik heb Linux geïnstalleerd op disk A, die gedisconnect, Windows geïnstalleerd op disk B. Daarna beide disks weer aangesloten. Dual boot is nu gewoon een kwestie van F11 indrukken tijdens de boot en vanuit het boot menu de juiste disk kiezen mocht ik Windows willen booten.
Je had ook gewoon WSL kunnen draaien had je simpelweg integratie gehad en niet eens een dualboot nodig.

Je oplossing werkt uiteraard maar denk dat de meeste niet een hele drive ipv partitie willen dedicaten.
Dat gezegd heb ik dat zelf ook jaren geleden toegepast voor een test rig waar ik simpelweg 4 hotswapbays in heb geplaatst en 2.5 inch drives met specifieke OS in kan stoppen.

Voor ieder die geen moeite wil doen je kan ook gewoon Linux gebaseerde OS tegelijk met Windows draaien middels WSL. Geen dualboot nodig en directe integratie met beide Kan al jaren trouwens dus ik moet altijd lachen als mensen zeggen Microsoft werkt Linux baseerde OS tegen.
26-04-2024, 16:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Ik heb Linux geïnstalleerd op disk A, die gedisconnect, Windows geïnstalleerd op disk B. Daarna beide disks weer aangesloten. Dual boot is nu gewoon een kwestie van F11 indrukken tijdens de boot en vanuit het boot menu de juiste disk kiezen mocht ik Windows willen booten.
Je had ook gewoon WSL kunnen draaien had je simpelweg integratie gehad en niet eens een dualboot nodig.

Je oplossing werkt uiteraard maar denk dat de meeste niet een hele drive ipv partitie willen dedicaten.
Dat gezegd heb ik dat zelf ook jaren geleden toegepast voor een test rig waar ik simpelweg 4 hotswapbays in heb geplaatst en 2.5 inch drives met specifieke OS in kan stoppen.

Voor ieder die geen moeite wil doen je kan ook gewoon Linux gebaseerde OS tegelijk met Windows draaien middels WSL. Geen dualboot nodig en directe integratie met beide Kan al jaren trouwens dus ik moet altijd lachen als mensen zeggen Microsoft werkt Linux baseerde OS tegen.
Daar hoef je niet om te lachen want als je windows ging installeren op een disk waar al Linux opstond gooide de windowsinstaller Linux eraf zonder maar 1 vraag te stellen. Andersom vraagt de Linux installer netjes of je een dual boot systeem wilt en dan wordt de partitie ook nog eens netjes opgeknipt indien nodig. WSL is zo iets als Wine voor Linux. Links laten liggen. Ga voor de echte dan weet je ook zeker dat je systeem na een patch weer reboot.
27-04-2024, 00:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Ik heb Linux geïnstalleerd op disk A, die gedisconnect, Windows geïnstalleerd op disk B. Daarna beide disks weer aangesloten. Dual boot is nu gewoon een kwestie van F11 indrukken tijdens de boot en vanuit het boot menu de juiste disk kiezen mocht ik Windows willen booten.
Je had ook gewoon WSL kunnen draaien had je simpelweg integratie gehad en niet eens een dualboot nodig.

Je oplossing werkt uiteraard maar denk dat de meeste niet een hele drive ipv partitie willen dedicaten.
Dat gezegd heb ik dat zelf ook jaren geleden toegepast voor een test rig waar ik simpelweg 4 hotswapbays in heb geplaatst en 2.5 inch drives met specifieke OS in kan stoppen.

Voor ieder die geen moeite wil doen je kan ook gewoon Linux gebaseerde OS tegelijk met Windows draaien middels WSL. Geen dualboot nodig en directe integratie met beide Kan al jaren trouwens dus ik moet altijd lachen als mensen zeggen Microsoft werkt Linux baseerde OS tegen.
Daar hoef je niet om te lachen want als je windows ging installeren op een disk waar al Linux opstond gooide de windowsinstaller Linux eraf zonder maar 1 vraag te stellen. Andersom vraagt de Linux installer netjes of je een dual boot systeem wilt en dan wordt de partitie ook nog eens netjes opgeknipt indien nodig. WSL is zo iets als Wine voor Linux. Links laten liggen. Ga voor de echte dan weet je ook zeker dat je systeem na een patch weer reboot.
En dan flikkert hij grub erop en is de Windows bootmanager om zeep.
27-04-2024, 12:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Johneeltje: Dus dualboot is dan niet meer mogelijk.. Ik heb hier al een pc waar ik 2 besturingssystemen op had staan, vorige maand alleen Linux erop gezet en Windows weg gedaan. Als ze hiermee komen, dan ga ik op mijn andere pc ook alleen Linux installeren, dan maar geen Windows meer.

Ik heb Linux geïnstalleerd op disk A, die gedisconnect, Windows geïnstalleerd op disk B. Daarna beide disks weer aangesloten. Dual boot is nu gewoon een kwestie van F11 indrukken tijdens de boot en vanuit het boot menu de juiste disk kiezen mocht ik Windows willen booten.
Je had ook gewoon WSL kunnen draaien had je simpelweg integratie gehad en niet eens een dualboot nodig.

Je oplossing werkt uiteraard maar denk dat de meeste niet een hele drive ipv partitie willen dedicaten.
Dat gezegd heb ik dat zelf ook jaren geleden toegepast voor een test rig waar ik simpelweg 4 hotswapbays in heb geplaatst en 2.5 inch drives met specifieke OS in kan stoppen.

Voor ieder die geen moeite wil doen je kan ook gewoon Linux gebaseerde OS tegelijk met Windows draaien middels WSL. Geen dualboot nodig en directe integratie met beide Kan al jaren trouwens dus ik moet altijd lachen als mensen zeggen Microsoft werkt Linux baseerde OS tegen.
Daar hoef je niet om te lachen want als je windows ging installeren op een disk waar al Linux opstond gooide de windowsinstaller Linux eraf zonder maar 1 vraag te stellen. Andersom vraagt de Linux installer netjes of je een dual boot systeem wilt en dan wordt de partitie ook nog eens netjes opgeknipt indien nodig. WSL is zo iets als Wine voor Linux. Links laten liggen. Ga voor de echte dan weet je ook zeker dat je systeem na een patch weer reboot.
En dan flikkert hij grub erop en is de Windows bootmanager om zeep.
JIj bent hier steeds de verspreider van nepnieuws. Zonder vraag er af flikkeren doet alleen Microsoft. Grub kan chain-load the windows boot loader Zie ook: https://itsfoss.com/grub-customizer-ubuntu/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.