Microsoft komt met plan voor intrekken kwetsbare Windows-bootmanagers

[Captain Kirk]

Microsoft is al enige tijd bezig met een plan om kwetsbare Windows-bootmanagers in te trekken, om systemen zo tegen aanvallen met de BlackLotus-malware te beschermen. Een eerdere mitigatie die Microsoft vorig jaar uitbracht is te omzeilen, zo stelt het bedrijf in een nieuwe blogposting. Daarom gaat Microsoft een eigen certificaatautoriteit intrekken, maar dat kan ervoor zorgen dat systemen straks niet meer kunnen opstarten.

De BlackLotus-malware maakt gebruik van een kwetsbaarheid in Windows voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de malware onder andere BitLocker en Microsoft Defender uitschakelen. UEFI-malware kan ook een herinstallatie van het besturingssysteem of vervangen van hardware overleven.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Vorig jaar kwam Microsoft met een mitigatie, maar die is te omzeilen.

Daarom gaat het techbedrijf de Microsoft Windows Production PCA (Product Certificate Authority) 2011 intrekken. Dit zal door middel van een DBX-update worden gedaan. Dit heeft echter tot gevolg dat op systemen waarop secure boot staat ingeschakeld, het systeem niet meer kan opstarten via een Windows-bootmanager die is gesigneerd door het Microsoft Windows Production PCA 2011.

Het gaat dan ook om het opstarten via bestaande herstelmedia, usb-media en network boot (WSD/PXE/HTTP) servers waarvan de bootmanager niet is bijgewerkt. Microsoft verwacht met name problemen met PXE boot. "Dat komt doordat je binaries die via PXE worden aangeboden niet kan updaten totdat alle machines ondersteund door de network boot server zijn geüpdatet om de nieuwe database-update te gebruiken", legt Microsofts Sochi Ogbuanya uit. Het techbedrijf heeft een plan van aanpak gepubliceerd hoe organisaties en gebruikers met deze DBX-update kunnen omgaan.

 

bron: https://www.security.nl