/dev/null
- Overig
Secure Boot bypass protections
05-04-2024, 18:10 door Anoniem, 6 reacties
Dit is een vervolg op de discussie bij het bericht https://www.security.nl/posting/829475/Microsoft+vervangt+certificaten+Secure+Boot%3A+adviseert+back-up+BitLocker+keys.
Over minder dan een week komt er een update van Windows 10. De preview hiervan is https://support.microsoft.com/en-us/topic/march-26-2024-kb5035941-os-build-19045-4239-preview-a170797c-503e-4372-b3b6-89f290b4f2cb. Hierin staat niets over een Secure Boot certificaat update in je UEFI BIOS. Gelukkig nog niet.
Op https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#timing5025885 staat voor komende dinsdag:
Vandaag na veel zoeken heb ik de moeder van dit document ontdekt op https://support.microsoft.com/en-us/topic/kb5036534-latest-windows-hardening-guidance-and-key-dates-eb1bd411-f68c-4d74-a4e1-456721a6551b hierin staat:
De opmerking 'media be updated' ontbreekt dus in dit nieuwe document van 10 maart 2024. Linux en *BSD boot media blijven voorlopig werken en worden niet gebrickt door een update van Microsoft. Bij Ubuntu zie ik geen voortgang met wat betreft Secure Boot, Grub2 of Shim. Maar misschien kijk ik niet goed genoeg. Ze zijn druk bezig met xz natuurlijk. Ik verwachte ergens wel een livecd van Ubuntu die ondertekend was met een nieuwe secure boot sleutel. Voor Noble Numbat.
Zelf heb ik besloten alles van Microsoft tot oktober 2024 te blijven installeren. Ik zag bij mijn zoektocht dat Ubuntu ook zelf UEFI Secure Boot firmware aanpast. Dat heb ik dan toch liever direct van Microsoft dan indirect van Ubuntu. Als het toch moet..
Als je op Windows 11 zit is dit natuurlijk minder een probleem omdat je end-of-life niet al eind volgend jaar plaats vindt. Die berg electronic waste moet natuurlijk zo hoog mogelijk worden om verkopen en winst te stimuleren ;-) En dan twee jaar later opnieuw om AI in je processor te etsen. En weer een jaar later weer een nieuwe processor met nog krachtiger en verbeterde AI.
TS
Over minder dan een week komt er een update van Windows 10. De preview hiervan is https://support.microsoft.com/en-us/topic/march-26-2024-kb5035941-os-build-19045-4239-preview-a170797c-503e-4372-b3b6-89f290b4f2cb. Hierin staat niets over een Secure Boot certificaat update in je UEFI BIOS. Gelukkig nog niet.
Op https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#timing5025885 staat voor komende dinsdag:
When updates are released for the third deployment phase, they will add the following:
New mitigations to block additional vulnerable boot managers. These new mitigations will require that media be updated.
New mitigations to block additional vulnerable boot managers. These new mitigations will require that media be updated.
Vandaag na veel zoeken heb ik de moeder van dit document ontdekt op https://support.microsoft.com/en-us/topic/kb5036534-latest-windows-hardening-guidance-and-key-dates-eb1bd411-f68c-4d74-a4e1-456721a6551b hierin staat:
Secure Boot bypass protections KB5025885 | Phase 3
Third Deployment phase. This phase will add additional boot manager mitigations. This phase will start no sooner than April 9, 2024.
Third Deployment phase. This phase will add additional boot manager mitigations. This phase will start no sooner than April 9, 2024.
De opmerking 'media be updated' ontbreekt dus in dit nieuwe document van 10 maart 2024. Linux en *BSD boot media blijven voorlopig werken en worden niet gebrickt door een update van Microsoft. Bij Ubuntu zie ik geen voortgang met wat betreft Secure Boot, Grub2 of Shim. Maar misschien kijk ik niet goed genoeg. Ze zijn druk bezig met xz natuurlijk. Ik verwachte ergens wel een livecd van Ubuntu die ondertekend was met een nieuwe secure boot sleutel. Voor Noble Numbat.
Zelf heb ik besloten alles van Microsoft tot oktober 2024 te blijven installeren. Ik zag bij mijn zoektocht dat Ubuntu ook zelf UEFI Secure Boot firmware aanpast. Dat heb ik dan toch liever direct van Microsoft dan indirect van Ubuntu. Als het toch moet..
Als je op Windows 11 zit is dit natuurlijk minder een probleem omdat je end-of-life niet al eind volgend jaar plaats vindt. Die berg electronic waste moet natuurlijk zo hoog mogelijk worden om verkopen en winst te stimuleren ;-) En dan twee jaar later opnieuw om AI in je processor te etsen. En weer een jaar later weer een nieuwe processor met nog krachtiger en verbeterde AI.
TS
Reacties (6)
06-04-2024, 10:01 door
Anoniem
Dit soort situaties is precies waarom je bij de introductie van secure boot zoveel negatieve geluiden uit de FOSS hoek kwamen. Het is natuurlijk van de gekke dat MS wel even kan bepalen of anderen iets moeten updaten, en dat andere afhankelijk zijn van de goodwill van MS om te zorgen dat ze kunnen (blijven) booten. Alsof MS de autoriteit is op het gebied van secure booten ;-)
08-04-2024, 14:58 door
Anoniem
" Alsof MS de autoriteit is op het gebied van secure booten ;-)"
In het land der blinden, is een oog koning. En pak dan die macht nog maar eens af.
Open source is een hartstikke positief uitgangsprincipe, maar de realiteit is dat het soms alsnog gewoon een bende is; en daar waar geld regeert, zijn organisaties al helemaal niet bereid te investeren in (de kwaliteit / verbetering van) 'gratis spul', zeker niet als de concurrent(en) daar mogelijk ook hun voordeel mee doen; hoe kortzichtig dat dan ook wel of niet is ...
In het land der blinden, is een oog koning. En pak dan die macht nog maar eens af.
Open source is een hartstikke positief uitgangsprincipe, maar de realiteit is dat het soms alsnog gewoon een bende is; en daar waar geld regeert, zijn organisaties al helemaal niet bereid te investeren in (de kwaliteit / verbetering van) 'gratis spul', zeker niet als de concurrent(en) daar mogelijk ook hun voordeel mee doen; hoe kortzichtig dat dan ook wel of niet is ...
09-04-2024, 20:01 door
Anoniem
https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_timing
Ik vind het doodeng. Ik ga nog liever mijn BIOS updaten met een 3 1/2" floppy zoals dat vroeger ging. Die floppy kan je tenminste goed testen voor je naar de firmware schrijft. Ik voel dat ik hier helemaal geen controle over heb.
TS
P.S. KB5034441 komt nog steeds met een Download error - 0x80070643. Deze moet ook een Secure Boot update krijgen om te kunnen werken maar mijn partitie is te klein om de update te kunnen bevatten. Misschien denkt Microsoft dat het vanzelf een keertje lukt als je maar vaak genoeg probeert.
April 9, 2024
Extensive changes to procedures, information, guidelines, and dates. Note that some previous changes have been removed as a result of the extensive changes made on this date.
Extensive changes to procedures, information, guidelines, and dates. Note that some previous changes have been removed as a result of the extensive changes made on this date.
Ik vind het doodeng. Ik ga nog liever mijn BIOS updaten met een 3 1/2" floppy zoals dat vroeger ging. Die floppy kan je tenminste goed testen voor je naar de firmware schrijft. Ik voel dat ik hier helemaal geen controle over heb.
TS
P.S. KB5034441 komt nog steeds met een Download error - 0x80070643. Deze moet ook een Secure Boot update krijgen om te kunnen werken maar mijn partitie is te klein om de update te kunnen bevatten. Misschien denkt Microsoft dat het vanzelf een keertje lukt als je maar vaak genoeg probeert.
13-04-2024, 13:43 door
Anoniem
Hallo, hier TS,
Ik ben tot de ontdekking gekomen dat er bij Ubuntu updates voor Secure Boot zijn gekomen voor Mantic Minotaur en Noble Numbat: https://packages.ubuntu.com/noble/shim-signed -> Ubuntu Changelog:
Debian Sid lijkt echter tijdelijk gestopt te zijn met Secure Boot, de laatste changelog is:
De melding dat ze geen secureboot-db hebben is onheilspellend. shim-signed voor Ubuntu wordt onderhouden door Canonical zelf, dus dat zit wel goed. Dit geldt waarschijnlijk ook voor Linux Mint.
Ik zag bij Ubuntu dat er twee signed shims zijn in de shim-signed package. Dus eentje ondertekend met Microsoft Windows Production PCA 2011 (deze gaat over een half jaar verdwijnen door toedoen van Microsoft). En eentje ondertekend met Windows UEFI CA 2023 vermoed ik.
Het is mij niet helemaal duidelijk of Microsoft aparte sleutels gebruikt voor het ondertekenen van Windows en het ondertekenen van Linux en andere third parties.
TS
Ik ben tot de ontdekking gekomen dat er bij Ubuntu updates voor Secure Boot zijn gekomen voor Mantic Minotaur en Noble Numbat: https://packages.ubuntu.com/noble/shim-signed -> Ubuntu Changelog:
shim-signed (1.58) noble; urgency=medium
* Prevent postinst failing when broken grub-common was previously
installed(LP: #2056562)
-- Mate Kukri <snip> Thu, 04 Apr 2024 13:39:00 +0100
shim-signed (1.57) mantic; urgency=medium
* New upstream version 15.8 (LP: #2051151):
- pe: Align section size up to page size for mem attrs (LP: #2036604)
- SBAT level: shim,4
- SBAT policy:
- Latest: "shim,4\ngrub,3\ngrub.debian,4\n"
- Automatic: "shim,2\ngrub,3\ngrub.debian,4\n"
- Note that this does not yet revoke pre NTFS CVE fix GRUB binaries.
* SECURITY UPDATE: a bug in an error message [LP: #2051151]
- mok: fix LogError() invocation
- CVE-2023-40546
* SECURITY UPDATE: out-of-bounds write and UEFI Secure Boot bypass
when booting via HTTP [LP: #2051151]
- avoid incorrectly trusting HTTP headers
- CVE-2023-40547
* SECURITY UPDATE: out-of-bounds write and possible bug [LP: #2051151]
- Fix integer overflow on SBAT section size on 32-bit system
- CVE-2023-40548
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- Authenticode: verify that the signature header is in bounds.
- CVE-2023-40549
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe: Fix an out-of-bound read in verify_buffer_sbat()
- CVE-2023-40550
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe-relocate: Fix bounds check for MZ binaries
- CVE-2023-40551
* Makefile: Add option for building without an externally signed shim
-- Mate Kukri <snip> Thu, 29 Feb 2024 10:26:43 +0000
* Prevent postinst failing when broken grub-common was previously
installed(LP: #2056562)
-- Mate Kukri <snip> Thu, 04 Apr 2024 13:39:00 +0100
shim-signed (1.57) mantic; urgency=medium
* New upstream version 15.8 (LP: #2051151):
- pe: Align section size up to page size for mem attrs (LP: #2036604)
- SBAT level: shim,4
- SBAT policy:
- Latest: "shim,4\ngrub,3\ngrub.debian,4\n"
- Automatic: "shim,2\ngrub,3\ngrub.debian,4\n"
- Note that this does not yet revoke pre NTFS CVE fix GRUB binaries.
* SECURITY UPDATE: a bug in an error message [LP: #2051151]
- mok: fix LogError() invocation
- CVE-2023-40546
* SECURITY UPDATE: out-of-bounds write and UEFI Secure Boot bypass
when booting via HTTP [LP: #2051151]
- avoid incorrectly trusting HTTP headers
- CVE-2023-40547
* SECURITY UPDATE: out-of-bounds write and possible bug [LP: #2051151]
- Fix integer overflow on SBAT section size on 32-bit system
- CVE-2023-40548
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- Authenticode: verify that the signature header is in bounds.
- CVE-2023-40549
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe: Fix an out-of-bound read in verify_buffer_sbat()
- CVE-2023-40550
* SECURITY UPDATE: out-of-bounds read and possible bug [LP: #2051151]
- pe-relocate: Fix bounds check for MZ binaries
- CVE-2023-40551
* Makefile: Add option for building without an externally signed shim
-- Mate Kukri <snip> Thu, 29 Feb 2024 10:26:43 +0000
Debian Sid lijkt echter tijdelijk gestopt te zijn met Secure Boot, de laatste changelog is:
shim-signed (1.40) unstable; urgency=medium
* Stop recommending secureboot-db, we don't have that package.
Closes: #1042964, #1041449, #932358
* Add Romanian translation for debconf templates, thanks to
Remus-Gabriel Chelu. Closes: #1039090
-- Steve McIntyre <snip> Fri, 04 Aug 2023 12:21:47 +0100
* Stop recommending secureboot-db, we don't have that package.
Closes: #1042964, #1041449, #932358
* Add Romanian translation for debconf templates, thanks to
Remus-Gabriel Chelu. Closes: #1039090
-- Steve McIntyre <snip> Fri, 04 Aug 2023 12:21:47 +0100
De melding dat ze geen secureboot-db hebben is onheilspellend. shim-signed voor Ubuntu wordt onderhouden door Canonical zelf, dus dat zit wel goed. Dit geldt waarschijnlijk ook voor Linux Mint.
Ik zag bij Ubuntu dat er twee signed shims zijn in de shim-signed package. Dus eentje ondertekend met Microsoft Windows Production PCA 2011 (deze gaat over een half jaar verdwijnen door toedoen van Microsoft). En eentje ondertekend met Windows UEFI CA 2023 vermoed ik.
Het is mij niet helemaal duidelijk of Microsoft aparte sleutels gebruikt voor het ondertekenen van Windows en het ondertekenen van Linux en andere third parties.
TS
13-04-2024, 14:59 door
Anoniem
Door Anoniem: Hallo, hier TS,
[..]
Het is mij niet helemaal duidelijk of Microsoft aparte sleutels gebruikt voor het ondertekenen van Windows en het ondertekenen van Linux en andere third parties.
TS
[..]
Het is mij niet helemaal duidelijk of Microsoft aparte sleutels gebruikt voor het ondertekenen van Windows en het ondertekenen van Linux en andere third parties.
TS
Volgens mij wel, maar dat was al genoemd in de voorgaande thread over dit onderwerp.
Bijvoorbeeld
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/updating-microsoft-secure-boot-keys/ba-p/4055324
hieruit
hese include the Microsoft Corporation KEK CA 2011 stored in the KEK database, and two certificates stored in the DB called the Microsoft Windows Production PCA 2011, which signs the Windows bootloader, and the Microsoft UEFI CA 2011 (or third-party UEFI CA), which signs third-party OS and hardware driver components.
en
The full DB update’s controlled-rollout process to all Windows customers will begin during the 2024 April servicing and preview updates, ahead of the certificate expiration in 2026. Meanwhile, efforts to update the Microsoft UEFI CA 2011 (aka third-party UEFI CA) and Microsoft Corporation KEK CA 2011 will begin late 2024, and will follow a similar controlled rollout process as this DB update.
Vrij duidelijk dus dat ze een aparte CA gebruiken voor het signen van third-party OS loaders.
13-04-2024, 18:41 door
Anoniem
Door Anoniem: Volgens mij wel, maar dat was al genoemd in de voorgaande thread over dit onderwerp.
Bijvoorbeeld
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/updating-microsoft-secure-boot-keys/ba-p/4055324
Bijvoorbeeld
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/updating-microsoft-secure-boot-keys/ba-p/4055324
Deze link is helemaal achterhaald sinds een week geleden. Er is op patchdinsdag echt heel veel veranderd. En de informatie die er in staat moet ook ergens anders officieel aanwezig zijn op de site van microsoft.
Ik kom uit op https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-10
2.4.2 Boot loaders
The Microsoft UEFI driver signing certificate can be used for signing other OSs. For example, Fedora’s Linux boot loader will be signed by it.
This solution doesn’t require any more certificates to be added to the key Db. In addition to being cost effective, it can be used for any Linux distribution. This solution would work for any hardware which supports Windows so it is useful for a wide range of hardware.
The Microsoft UEFI driver signing certificate can be used for signing other OSs. For example, Fedora’s Linux boot loader will be signed by it.
This solution doesn’t require any more certificates to be added to the key Db. In addition to being cost effective, it can be used for any Linux distribution. This solution would work for any hardware which supports Windows so it is useful for a wide range of hardware.
Omdat Microsoft Windows Production CA 2011 en Windows UEFI CA 2023 verplicht zijn voor alle windows computers, worden deze gebruik door linux om de shim te ondertekenen.
Microsoft Corporation UEFI CA 2011 en Microsoft UEFI CA 2023 zijn niet verplicht door Microsoft en daardoor minder geschikt voor linux (omdat linux dan niet op alle PC's zou kunnen draaien).
De KEK keys zijn helemaal off-limit voor linux omdat daarmee de db en dbx databases gemanipuleerd kunnen worden. Als die lekken dan is het game over voor Microsoft en Secure Boot. Een aanvaller kan daarin dan zetten wat die wilt.
Ik beantwoord hiermee ook eigenlijk mijn eigen vraag al.
TS
P.S. Ik vind de naamgeving van Microsoft voor de db sleutels heel onduidelijk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.