Microsoft schakelt Secure Boot-update volgend jaar op alle Windowssystemen in
Microsoft zal de beveiligingsupdate voor een actief aangevallen zerodaylek in Secure Boot die het gisterenavond uitbracht in het eerste kwartaal van volgend jaar op alle Windowssystemen inschakelen. Op dit moment moeten gebruikers en beheerders dit zelf doen. Het beveiligingslek (CVE-2023-24932) maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om Secure Boot te omzeilen.
De BlackLotus-bootkit blijkt misbruik van deze kwetsbaarheid te maken om eigen code op UEFI-niveau uit te voeren, terwijl Secure Boot is ingeschakeld. De beveiligingsmaatregel zou dit juist moeten voorkomen. Microsoft kwam gisteren met een patch, maar die staat standaard uitgeschakeld en gebruikers zijn zodoende niet beschermd. Gebruikers die beschermd willen zijn moeten zelf verschillende acties uitvoeren.
Op 11 juli van dit jaar kom Microsoft met een tweede release van de update die aanvullende opties biedt, die het inschakelen van de bescherming eenvoudiger zouden moeten maken. Op een nog nader te bepalen datum in het eerste kwartaal van 2024 wordt de beveiligingsupdate op alle Windowssystemen ingeschakeld, hoewel Microsoft zegt naar een eerdere uitrol te kijken.
Het techbedrijf claimt deze gefaseerde aanpak te hanteren om te voorkomen dat systemen straks niet meer kunnen opstarten. Secure Boot bepaalt welk bootmedia mag worden geladen bij het initialiseren van het besturingssysteem. Als de beveiligingsupdate niet op de juiste manier wordt ingeschakeld is er een kans dat het systeem niet meer opstart. Als onderdeel van de oplossing voor de Secure Boot bypass (CVE-2023-24932) trekt Microsoft namelijk verschillende bootmanagers in.
Dit heeft verschillende gevolgen. Zo zijn back-ups van Windows die voor de installatie van de beveiligingsupdates van 9 mei zijn gemaakt niet direct te gebruiken voor het herstellen van een Windows-installatie nadat de revocations op de betreffende computer zijn ingeschakeld. Gebruikers moeten dan ook hun bootable media en volledige back-ups van Windows updaten. Nadat de revocations zijn toegepast zal bootable media die niet is geüpdatet niet meer goed werken.
En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
Van die onzin als smartapp control en TPM2.0 moet je gewoon niet willen. In de toekomst zullen we wel meer hardware matige lockout gaan zien zoals microsoft Pluton. Dan is het niet meer mogelijk om een ander bestuuringssysteem op je laptop of PC te installeren omdat dat op hardware matig niveau uitgeschakeld zal zijn. Ik vraag me af of onze wetgevers hier nog iets tegen gaan ondernemen. Maar de trend lijkt te zijn dat men graag mensen die vrijheid wil ontnemen. Dankzij TPM2.0 en secure boot kan microsoft je straks gewoon uit je eigen systeem locken. aangezien zij die unlock keys in beheer hebben.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.
En BlackLotus zal worden tegengehouden! Want je systeem start niet meer op dus BlackLotus zal ook niet draaien. Daar gaat het uiteindelijk om.
Huis tuin keuken gebruikers gaan er niks van merken die gaan ook niet zelf hun systeem herstellen en mensen die te maken hebben met serieuse beveiliging eisen die zullen allang een eigen unified kernel gebruiken eigen keys voor validatie en niet vertrouwen op junk als secureboot.
Een systeem dat namelijk beschermd door ingebouwde keys die je niet zelf audit is niet beschermend je weet namelijk niet of de implementatie tainted is. Dan is een Trusted Platform Module nog een stuk veiliger en uitgebreider. En secureboot is lek als een mandje vanaf het moment dat het geintroduceerd was. De Grub2 exploit was een goede demonstratie waarom het bad by design was en het fixen niet makkelijk
Dus ik zie niet hoe dit het aantal Windows gebruikers gaat verlagen huis tuin keuken gebruikers gaan echt niet over naar linux en mac omdat er iets als secureboot op hun systeem staat. Hobyisten doen al wat ze willen en gaan simpelweg nket secureboot inschakelen en profesionele IT gebrukers die hebben allang hun upgrade plannen vastliggen voor de eerste 5 a 10 jaar
Door beide operationele systemen door elkander te gebruiken leer je ze allebei beter kennen
en vervolgens ben je minder afhankelijk bij bijvoorbeeld security issues.
Better not to let them fence you in, folks.
Voor je het weet hebben ze je namelijk bij de beer.
En dan is er ook nog wine voor wat Windows apps onder linux te laten draaien.
NT4 gedaan in 2001 met de kernel te midden van l;inux admins,
die over moesten in de transportsector en gezondheidszorg.
#think-out-of-the-box
Helaas is libreboot slechts in beperkte gevallen mogelijk. Libreboot zonder bloated bios en waarbij je de intel management engine en amd secure platform processor deels uit kunt schakelen. Helaas lijkt het met de amd psp nog niet zo makkelijk te zijn en is haswell en ivybridge de laatste generatie waarbij het voor elkaar gekregen is. Of de amd fx bulldozer/piledriver modellen die als laatste gen nog geen amd psp ingebouwd hadden.
het is erg moeilijk om dit op nieuwere hardware voor elkaar te krijgen en vergt veel onderzoek ook werken amd en intel er niet aan mee om de management engine en amd psp te opensourcen.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.
De complot theorieën vieren weer hoogtij hier. Microsoft is dan wel een dominant bedrijf maar het bestaat toch echt bij de gratie van de klant. Dus zo'n vaart zal het niet lopen.
Ik zie het nog wel gebeuren dat dit misbruikt gaat worden om mensen te piepelen al dan niet door virussen dan wel door overheden.
De complot theorieën vieren weer hoogtij hier. Microsoft is dan wel een dominant bedrijf maar het bestaat toch echt bij de gratie van de klant. Dus zo'n vaart zal het niet lopen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.