Von Susan Bradley, Autorin, Computerworld |Jeden Monat erhalten Windows-Benutzer und -Administratoren am Patch Tuesday (oder Mittwoch, je nachdem, wo Sie sich befinden) Updates von Microsoft.Und jeden Monat wenden die meisten Benutzer dieselben Updates an.Ein typisches Beispiel: KB5012170, ein am 9. August veröffentlichter Patch, der entweder keine Probleme verursacht – oder Bitlocker-Anforderungen zur Wiederherstellung von Schlüsseln auslöst oder überhaupt nicht installiert wird und verlangt, dass Sie nach einem Firmware-Update suchen.Dieser Patch, Sicherheitsupdate für Secure Boot DBX genannt, gilt für fast alle unterstützten Windows-Versionen.Insbesondere betrifft es Windows Server 2012;Windows 8.1 und Windows Server 2012 R2;Windows 10, Version 1507;Windows 10, Version 1607 und Windows Server 2016;Windows 10, Version 1809 und Windows Server 2019;Windows 10, Versionen 20H2, 21H1 und 21H2;Windows-Server 2022;Windows 11, Version 21H2 (Originalversion), und Azure Stack HCI, Version 1809, bis hin zu Azure Stack Data Box, Version 1809 (ASDB).Aber hier ist die Sache: Nicht alle Maschinen haben die gleichen Risikofaktoren.Dieses spezielle Update befasst sich mit einem Sicherheitsrisiko, bei dem „eine Schwachstelle zur Umgehung von Sicherheitsfunktionen im sicheren Start vorhanden ist.Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, kann den sicheren Start umgehen und nicht vertrauenswürdige Software laden.Dieses Sicherheitsupdate behebt die Schwachstelle, indem es die Signaturen der bekannten anfälligen UEFI-Module zum DBX hinzufügt.“Wie in der Microsoft-Anleitung angegeben: „Um diese Schwachstelle auszunutzen, benötigt ein Angreifer Administratorrechte oder physischen Zugriff auf ein System, auf dem Secure Boot konfiguriert ist, um der Microsoft Unified Extensible Firmware Interface (UEFI) Certificate Authority (CA) zu vertrauen.Der Angreifer könnte einen betroffenen GRUB installieren und beliebigen Bootcode auf dem Zielgerät ausführen.Nach erfolgreicher Ausnutzung dieser Schwachstelle könnte der Angreifer weitere Code-Integritätsprüfungen deaktivieren, wodurch beliebige ausführbare Dateien und Treiber auf das Zielgerät geladen werden können.“Ich empfehle nicht, Updates zu ignorieren oder zu blockieren, es sei denn, das Risiko von Nebenwirkungen ist größer als der Patch selbst.In diesem speziellen Fall muss der Angreifer eines von zwei Dingen eintreten lassen.Ich muss mich noch davon überzeugen, dass für die meisten Heimanwender das Risiko für diese Rechner die Installation dieses Patches rechtfertigt.Zu oft haben wir Nebenwirkungen gesehen, die genauso einschneidend sind wie das Angriffsrisiko selbst.Wie im Eclypsium-Blog vermerkt: „Im April 2019 wurde eine Schwachstelle in der Verwendung von GRUB2 durch die Kaspersky Rescue Disk öffentlich bekannt.Im Februar 2020, mehr als sechs Monate nach der Veröffentlichung einer korrigierten Version, hat Microsoft ein Update veröffentlicht, um den anfälligen Bootloader auf allen Windows-Systemen zu widerrufen, indem die UEFI-Widerrufsliste (dbx) aktualisiert wurde, um den bekanntermaßen anfälligen Kaspersky-Bootloader zu blockieren.Leider führte dies dazu, dass bei Systemen mehrerer Anbieter unerwartete Fehler auftraten, einschließlich gemauerter Geräte, und das Update von den Update-Servern entfernt wurde.“Als KB5012170 für bestimmte Maschinen veröffentlicht wurde, wurde es allen Maschinen angeboten – einschließlich virtuellen (sogar solchen, die Legacy-BIOS-Einstellungen verwenden).Während die überwiegende Mehrheit das Update problemlos installierte, wurden einige Computer explizit blockiert, obwohl einschließlich der HP Elite-Serie ohne DBXEnabled, FUJITSU FJNBB38 und Mac Boot Camp.. KB5012170 erhältZu den drei anfälligen Bootloadern gehört CryptoPro Secure Disk, ein weiterer ist ein Testtool und Disk-Wischer namens Eurosoft UK, der letzte, Reboot Restore Rx Pro, wird verwendet, um Änderungen an einem PC nach einem Neustart in einem Klassenzimmer, Kiosk-PCs, Hotelgäste-PCs etc.. Auch wenn Sie diese drei verwundbaren Loader nicht verwenden, erhalten Sie dieses "BIOS-Update".Aber die Nebenwirkungen können verheerend sein.Fragen Sie einfach Mike Terrill, der Mike's Tech Blog schreibt, der kürzlich erklärt hat, wie die schlechte Seite des Patchens für ihn aussah.Höchstwahrscheinlich hatte er einen Computer wie bestimmte Dells- oder HP-Modelle, die Bitlocker auf ihrem Laufwerk C: eingerichtet und sie dann nicht aufgefordert haben, den Wiederherstellungsschlüssel an einem Backup-Speicherort zu speichern, den die Person kennt.(Wenn Bitlocker entweder mit einem Azure Active Directory-Konto oder einem Microsoft-Konto eingerichtet ist, wird der Bitlocker-Wiederherstellungsschlüssel normalerweise gespeichert und Sie können sich anmelden und ihn finden. Aber bestimmte Computer aktivieren die Laufwerksverschlüsselung und sichern den Schlüssel nicht ; Sie starten Ihr System nach der Installation von KB5012170 neu und es fragt nach einem Wiederherstellungskennwort, das Sie nicht haben.)Einige Benutzer haben berichtet, dass sie nach diesen Schritten erfolgreich in das Betriebssystem booten konnten:All dies soll verdeutlichen, warum Sie nicht jedem Update das gleiche Risiko zuweisen sollten.In diesem Beispiel verursacht das Installieren des Updates und das Auslösen der Anforderung eines Bootlocker-Wiederherstellungskennworts, das Sie nicht kennen, genauso viel Schaden, wenn nicht mehr, als das Problem, das behoben wird.Microsoft muss Updates anerkennen und mehr Support leisten, die Nebenwirkungen auslösen und Benutzer warnen.Es reicht nicht aus, die Bedenken in einem Abschnitt „Bekannte Probleme“ zu dokumentieren – Benutzer müssen sicher sein, dass Patches ihre Systeme nicht beschädigen.Benutzer auf eigenständigen Computern sollten vor dieser Art von Updates aufgefordert werden, einen Bitlocker-Wiederherstellungsschlüssel einzugeben, um sicherzustellen, dass sie über den Schlüssel verfügen.Wenn dies nicht möglich ist, sollte das Update sie durch den Vorgang des Deaktivierens von Bitlocker oder des Zurücksetzens des Bitlocker-Wiederherstellungsschlüssels führen.Patches sollten nicht weh tun.Dies ist nicht das erste Mal, dass ein sicherer Boot-Patch zusätzliche Schmerzen und Schäden verursacht, aber es sollte das letzte Mal sein.Copyright © 2022 IDG Communications, Inc.Copyright © 2023 IDG Communications, Inc.