Các bản cập nhật Bản vá Thứ Ba tháng 2023 năm XNUMX của Microsoft chỉ bao gồm loại hỗn hợp mà bạn có thể mong đợi.

Nếu bạn đi theo số, có 38 lỗ hổng, trong đó có bảy lỗi được coi là quan trọng: sáu lỗi trong chính Windows và một lỗi trong SharePoint.

Rõ ràng, ba trong số 38 lỗ hổng là zero-day, bởi vì chúng đã được biết đến rộng rãi và ít nhất một trong số chúng đã bị tội phạm mạng tích cực khai thác.

Thật không may, những tên tội phạm đó dường như bao gồm băng đảng ransomware Black Lotus khét tiếng, vì vậy thật tốt khi thấy một bản vá được cung cấp cho lỗ hổng bảo mật ngoài tự nhiên này, được đặt tên là CVE-2023-24932: Tính năng bảo mật khởi động an toàn Bỏ qua lỗ hổng.

Tuy nhiên, mặc dù bạn sẽ nhận được bản vá nếu thực hiện tải xuống Bản vá Thứ Ba đầy đủ và để quá trình cập nhật hoàn tất…

…nó sẽ không tự động được áp dụng.

Để kích hoạt các bản sửa lỗi bảo mật cần thiết, bạn cần đọc và tiếp thu một Bài đăng 500 từ quyền Hướng dẫn liên quan đến các thay đổi của Trình quản lý khởi động an toàn liên quan đến CVE-2023-24932.

Sau đó, bạn sẽ cần phải làm việc thông qua một tham khảo hướng dẫn gần 3000 từ.

Cái đó được gọi là KB5025885: Cách quản lý việc thu hồi Trình quản lý khởi động Windows đối với các thay đổi Khởi động an toàn được liên kết với CVE-2023-24932.

Rắc rối với việc thu hồi

Nếu bạn đã theo dõi tin tức gần đây của chúng tôi về Vi phạm dữ liệu MSI, bạn sẽ biết rằng nó liên quan đến các khóa mật mã liên quan đến bảo mật chương trình cơ sở đã bị một nhóm tội phạm mạng khác có tên là Money Message đánh cắp từ gã khổng lồ bo mạch chủ MSI.

Bạn cũng sẽ biết rằng những người bình luận trên các bài báo chúng tôi đã viết về sự cố MSI đã hỏi, “Tại sao MSI không ngay lập tức thu hồi các khóa bị đánh cắp, ngừng sử dụng chúng và sau đó phát hành phần sụn mới được ký bằng các khóa mới?”

Như chúng tôi đã giải thích trong bối cảnh của câu chuyện đó, việc từ chối các khóa chương trình cơ sở bị xâm phạm để chặn mã chương trình cơ sở giả mạo có thể rất dễ gây ra trường hợp xấu về cái được gọi là “quy luật về hậu quả không lường trước được”.

Ví dụ: bạn có thể quyết định rằng bước đầu tiên và quan trọng nhất là yêu cầu tôi không tin bất kỳ thứ gì được ký bởi khóa XYZ nữa, bởi vì đó là thứ đã bị xâm phạm.

Xét cho cùng, thu hồi chìa khóa bị đánh cắp là cách nhanh nhất và chắc chắn nhất để khiến nó trở nên vô dụng đối với kẻ gian, và nếu đủ nhanh, bạn thậm chí có thể thay ổ khóa trước khi chúng có cơ hội thử chìa khóa.

Nhưng bạn có thể thấy nơi này sẽ đi.

Nếu máy tính của tôi thu hồi khóa bị đánh cắp để chuẩn bị nhận khóa mới và chương trình cơ sở cập nhật, nhưng máy tính của tôi lại khởi động lại (vô tình hoặc do nguyên nhân khác) không đúng thời điểm…

…thì phần sụn tôi đã có sẽ không còn đáng tin cậy nữa và tôi sẽ không thể khởi động được – không tắt ổ cứng, không tắt USB, không tắt mạng, có thể là không, vì tôi sẽ không nhận được cho đến điểm trong mã chương trình cơ sở nơi tôi có thể tải bất kỳ thứ gì từ thiết bị bên ngoài.

Sự thận trọng dồi dào

Trong trường hợp CVE-2023-24932 của Microsoft, sự cố không quá nghiêm trọng như vậy, vì bản vá đầy đủ không làm mất hiệu lực phần sụn hiện có trên chính bo mạch chủ.

Bản vá đầy đủ liên quan đến việc cập nhật mã khởi động của Microsoft trong phân vùng khởi động trên đĩa cứng của bạn, sau đó yêu cầu bo mạch chủ của bạn không tin vào mã khởi động cũ, không an toàn nữa.

Về lý thuyết, nếu xảy ra sự cố, bạn vẫn có thể khôi phục từ lỗi khởi động hệ điều hành chỉ bằng cách khởi động từ đĩa khôi phục mà bạn đã chuẩn bị trước đó.

Ngoại trừ việc không có đĩa khôi phục hiện tại nào của bạn sẽ được máy tính của bạn tin cậy vào thời điểm đó, giả sử rằng chúng bao gồm các thành phần thời gian khởi động hiện đã bị thu hồi và do đó sẽ không được máy tính của bạn chấp nhận.

Một lần nữa, bạn vẫn có thể khôi phục dữ liệu của mình, nếu không phải là toàn bộ cài đặt hệ điều hành, bằng cách sử dụng một máy tính đã được vá đầy đủ để tạo một hình ảnh khôi phục cập nhật đầy đủ với mã khởi động mới trên đó, giả sử bạn có một máy tính dự phòng tiện dụng để làm điều đó.

Hoặc bạn có thể tải xuống một hình ảnh cài đặt của Microsoft đã được cập nhật, giả sử rằng bạn có một số cách để tìm nạp bản tải xuống và giả sử rằng Microsoft có sẵn một hình ảnh mới phù hợp với phần cứng và hệ điều hành của bạn.

(Là một thử nghiệm, chúng tôi vừa tìm nạp [2023-05-09:23:55:00Z] phiên bản mới nhất Đánh giá Windows 11 Enterprise 64-bit ISO, có thể được sử dụng để phục hồi cũng như cài đặt, nhưng nó chưa được cập nhật gần đây.)

Và ngay cả khi bạn hoặc bộ phận CNTT của bạn có thời gian và thiết bị dự phòng để tạo hình ảnh khôi phục hồi cứu, thì đó vẫn sẽ là một rắc rối tốn thời gian mà bạn hoàn toàn có thể làm được nếu không có, đặc biệt nếu bạn đang làm việc tại nhà và hàng tá công việc khác. những người khác trong công ty của bạn đã bị cản trở cùng lúc và cần được gửi phương tiện khôi phục mới.

Tải xuống, chuẩn bị, thu hồi

Vì vậy, Microsoft đã xây dựng các nguyên liệu thô mà bạn cần cho bản vá này vào các tệp mà bạn sẽ nhận được khi tải xuống bản cập nhật Bản vá Thứ Ba tháng 2023 năm XNUMX, nhưng đã hoàn toàn thận trọng quyết định không kích hoạt tất cả các bước cần thiết để tự động áp dụng bản vá.

Thay vào đó, Microsoft khuyến cáo bạn cần thực hiện theo quy trình thủ công gồm ba bước như sau:

• BƯỚC 1. Tìm nạp bản cập nhật để tất cả các tệp bạn cần được cài đặt trên đĩa cứng cục bộ của bạn. Máy tính của bạn sẽ sử dụng mã khởi động mới, nhưng vẫn sẽ chấp nhận mã cũ, có thể khai thác được trong thời điểm hiện tại. Điều quan trọng là bước cập nhật này không tự động yêu cầu máy tính của bạn thu hồi (nghĩa là không còn tin tưởng) mã khởi động cũ.
• BƯỚC 2. Vá thủ công tất cả các thiết bị có thể khởi động của bạn (hình ảnh khôi phục) để chúng có mã khởi động mới trên chúng. Điều này có nghĩa là hình ảnh khôi phục của bạn sẽ hoạt động bình thường với máy tính của bạn ngay cả sau khi bạn hoàn thành bước 3 bên dưới, nhưng trong khi bạn chuẩn bị đĩa khôi phục mới, các hình ảnh cũ của bạn sẽ vẫn hoạt động, đề phòng. (Chúng tôi sẽ không đưa ra hướng dẫn từng bước ở đây vì có nhiều biến thể khác nhau; hãy tham khảo Tài liệu tham khảo của Microsoft thay thế.)
• BƯỚC 3. Yêu cầu máy tính của bạn thu hồi mã khởi động bị lỗi theo cách thủ công. Bước này thêm một mã định danh mật mã (một hàm băm tệp) vào danh sách chặn chương trình cơ sở của bo mạch chủ của bạn để ngăn không cho mã khởi động cũ, có lỗi được sử dụng trong tương lai, do đó ngăn không cho CVE-2023-24932 bị khai thác trở lại. Bằng cách trì hoãn bước này cho đến sau bước 2, bạn sẽ tránh được nguy cơ máy tính không khởi động được và do đó không thể sử dụng để hoàn thành bước 2 được nữa.

Như bạn có thể thấy, nếu bạn thực hiện ngay bước 1 và bước 3 cùng nhau, nhưng để lại bước 2 sau đó và sẽ xảy ra sự cố…

…không có hình ảnh khôi phục hiện tại nào của bạn sẽ hoạt động được nữa vì chúng sẽ chứa mã khởi động đã bị máy tính đã cập nhật đầy đủ của bạn từ chối và cấm.

Nếu bạn thích phép loại suy, hãy lưu bước 3 cho đến bước cuối cùng để ngăn bạn khóa chìa khóa bên trong xe.

Định dạng lại đĩa cứng cục bộ của bạn sẽ không giúp ích gì nếu bạn tự khóa mình, bởi vì bước 3 chuyển các giá trị băm mật mã của mã khởi động bị thu hồi từ bộ nhớ tạm thời trên đĩa cứng của bạn thành danh sách “không bao giờ tin cậy nữa” được khóa vào bộ nhớ an toàn trên chính bo mạch chủ.

Trong các từ chính thức lặp đi lặp lại và ấn tượng hơn của Microsoft:

THẬN TRỌNG

Khi tính năng giảm thiểu sự cố này được bật trên một thiết bị, nghĩa là việc hủy bỏ đã được áp dụng, bạn sẽ không thể hoàn nguyên nếu bạn tiếp tục sử dụng Khởi động an toàn trên thiết bị đó. Ngay cả việc định dạng lại đĩa sẽ không xóa các lệnh thu hồi nếu chúng đã được áp dụng.

Bạn đã được cảnh báo!

Nếu bạn hoặc nhóm CNTT của bạn đang lo lắng

Microsoft đã cung cấp một lịch trình ba giai đoạn cho bản cập nhật cụ thể này:

• 2023-05-09 (hiện tại). Quy trình thủ công đầy đủ nhưng vụng về được mô tả ở trên có thể được sử dụng để hoàn thành bản vá ngày hôm nay. Nếu lo lắng, bạn chỉ cần cài đặt bản vá (bước 1 ở trên) nhưng không làm gì khác ngay bây giờ, điều này khiến máy tính của bạn chạy mã khởi động mới và do đó sẵn sàng chấp nhận việc hủy bỏ được mô tả ở trên, nhưng vẫn có thể khởi động bằng đĩa khôi phục hiện có. (Tất nhiên, lưu ý rằng điều này khiến nó vẫn có thể khai thác được vì mã khởi động cũ vẫn có thể được tải.)
• 2023-07-11 (thời gian hai tháng). Các công cụ triển khai tự động an toàn hơn được hứa hẹn. Có lẽ, tất cả các bản tải xuống cài đặt chính thức của Microsoft sẽ được vá vào lúc đó, vì vậy ngay cả khi xảy ra sự cố, bạn sẽ có cách chính thức để tìm nạp hình ảnh khôi phục đáng tin cậy. Tại thời điểm này, chúng tôi cho rằng bạn sẽ có thể hoàn thành bản vá một cách an toàn và dễ dàng mà không cần phải xáo trộn các dòng lệnh hoặc hack sổ đăng ký bằng tay.
• Đầu năm 2024 (năm sau). Các hệ thống chưa được vá lỗi sẽ được cập nhật bắt buộc, bao gồm tự động áp dụng các hủy bỏ bằng mật mã sẽ ngăn phương tiện khôi phục cũ hoạt động trên máy tính của bạn, do đó hy vọng sẽ đóng lỗ hổng CVE-2023-24932 vĩnh viễn cho mọi người.

Nhân tiện, nếu máy tính của bạn không bật Khởi động an toàn, thì bạn chỉ cần đợi quá trình ba giai đoạn ở trên tự động hoàn tất.

Rốt cuộc, nếu không có Khởi động an toàn, bất kỳ ai có quyền truy cập vào máy tính của bạn đều có thể hack mã khởi động, với điều kiện là không có bảo vệ bằng mật mã tích cực để khóa quá trình khởi động.

TÔI ĐÃ BẬT KHỞI ĐỘNG AN TOÀN KHÔNG?

Bạn có thể kiểm tra xem máy tính của mình đã bật Secure Boot hay chưa bằng cách chạy lệnh MSINFO32:

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/