Kwetsbaarheid CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Probleembeschrijving
Microsoft is op de hoogte van een openbaar beschikbare exploit voor Secure Boot bypass waarmee aanvallers zelfondertekende code kunnen uitvoeren op het niveau van de Unified Extensible Firmware Interface (UEFI) terwijl Secure Boot is ingeschakeld. Om bescherming te bieden tegen deze aanval, wordt de Windows bootmanager bijgewerkt om de beveiligingsproblemen aan te pakken, en wordt er voorzien in een beleid voor het intrekken van bootmanagers (revocations) om te voorkomen dat de vorige, kwetsbare bootmanagers worden uitgevoerd nadat het systeem is bijgewerkt.
Microsoft heeft een openbaar KB-artikel aangekondigd waarin de bescherming wordt beschreven tegen de openbaarmaking van een omzeiling van de Secure Boot-beveiligingsfunctie door gebruik te maken van de BlackLotus UEFI-bootkit die wordt getraceerd door CVE-2023-24932. Het artikel biedt bescherming en richtlijnen voor het bijwerken van opstartbare media. Een bootkit is een kwaadaardig programma dat is ontworpen om zo vroeg mogelijk in de volgorde van een apparaat te laden, om het opstarten van het besturingssysteem te controleren.
Om de hierboven beschreven BlackLotus UEFI bootkit exploit mogelijk te maken, moet een aanvaller beheerdersrechten krijgen op een apparaat of fysieke toegang krijgen tot het apparaat. Dit kan gedaan worden door fysiek toegang te krijgen tot het apparaat of op afstand, bijvoorbeeld door een hypervisor te gebruiken om toegang te krijgen tot VM's/cloud. Een aanvaller zal deze kwetsbaarheid meestal gebruiken om een apparaat te blijven controleren waar hij al toegang tot heeft en dat hij mogelijk kan manipuleren.
Microsoft biedt de beveiligingsupdate en configuratieopties om handmatig beveiligingen in te schakelen voor de Secure Boot-bypass op 9 mei 2023 (intern de 5B-patch genoemd), maar deze beveiligingen worden niet automatisch ingeschakeld. Voordat u deze beveiligingen inschakelt, moet u ervoor zorgen dat de apparaten en alle opstartbare media zijn bijgewerkt en klaar zijn voor deze beveiligingswijziging.
Raadpleeg Microsoft's KB: 5025885 voor meer informatie:(Opmerking: Maatregelen in het KB-artikel zijn preventief en niet corrigerend.
Oorzaak
Secure Boot maakt een veilig en vertrouwd pad van de UEFI door de Windows kernel's Trusted Boot sequentie, het helpt bootkit malware te voorkomen in de boot sequentie. Het uitschakelen van Secure Boot brengt een apparaat in gevaar om geïnfecteerd te worden door bootkit-malware. Het oplossen van de Secure Boot bypass beschreven in CVE-2023-24932 vereist het herroepen van bootmanagers. Dit kan problemen veroorzaken voor de bootconfiguraties van sommige apparaten.
Probleem Impact Bereik
Raadpleeg de openbare aankondiging van Microsoft KB: 5025885
Alle Windows apparaten met Secure Boot-beschermingen ingeschakeld worden getroffen door dit probleem, zowel fysieke apparaten op locatie als sommige virtuele machines (VM's) of cloud-gebaseerde apparaten. Beschermingen zijn beschikbaar voor ondersteunde versies van Windows. Voor de volledige lijst, zie CVE-2023-24932.
Linux wordt ook getroffen door dit probleem. Microsoft werkt samen met vertegenwoordigers van grote Linux-distributies om de fix beschikbaar te maken voor hun besturingssystemen. U moet contact opnemen met de ondersteuning voor uw Linux-distributie voor advies over het beperken van dit probleem voor uw Linux-apparaten.
Resolutie
Acer werkt nauw samen met Microsoft om de gevolgen voor gebruikers en apparaten te beperken en zal aanvullende informatie en updates verstrekken zodra deze beschikbaar zijn.
