Stellungnahme der Getac Technology Corporation zu Microsoft-Sicherheitsupdate

(Windows-Update KB5025885 für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932)

Stand: 31.10.2023

Wichtig:

Bitte beachten Sie, dass wir Sie hiermit über ein wichtiges Sicherheitsupdate von Microsoft informieren. Benutzer sollten die Hinweise lesen und die von Microsoft sowie nachstehend empfohlenen Maßnahmen ergreifen, die gelegentlich aktualisiert werden können, um sich vor der Umgehung der Secure Boot-Sicherheitsfunktion zu schützen und mögliche Sicherheitsrisiken und Systemausfälle zu vermeiden. Bitte beachten Sie auch, dass Microsoft bekannt gegeben hat, dass die empfohlenen Maßnahmen vor dem Übergang in die finale Durchsetzungsphase durchgeführt werden müssen, die vorläufig frühestens für den 9. Juli 2024 geplant ist. Bootfähige Medien können möglicherweise nicht gestartet werden. Das hat zur Folge, dass Ihre Getac-Geräte nach der finalen Durchsetzungsphase von Microsoft nicht mehr gestartet werden können, wenn die erforderlichen Schritte nicht der Reihe nach ausgeführt werden. Darüber hinaus beachten Sie bitte, dass Software, die von Getac mit oder ohne den Getac-Markennamen vertrieben wird (einschließlich unter anderem Systemsoftware), nicht unter die Getac-Garantie fällt. Getac ist nicht verantwortlich für Ansprüche, Schäden, Kosten oder Ausgaben, die aus der Nichtbeachtung der Anweisungen in Bezug auf das Microsoft-Sicherheitsupdate resultieren.

Hintergrund

Da die Secure Boot-Sicherheitsfunktion durch das BlackLotus UEFI-Bootkit umgangen wurde, das unter CVE-2023-24932 geführt wird, hat Microsoft Maßnahmen ergriffen und am 9. Mai 2023 KB5025885 und Sicherheitsupdates veröffentlicht, um die Widerrufe des Windows Boot Managers zu verwalten.

Die Sicherheitsupdates von Microsoft sind in vier Phasen¹ aufgeteilt, wobei die letzte Phase die Durchführung ist. Die finale Durchführungsphase, die permanente Abhilfen implementiert, ist für den 9. Juli 2024 geplant.


Risiko & Auswirkungen

  • Die Schwachstelle im Zusammenhang mit dem BlackLotus-UEFI-Bootkit erlaubt es Angreifern, die Kontrolle über das Gerät zu gewinnen und es potenziell zu manipulieren. Es wird dringend empfohlen, dass alle Kunden, die am 9. Mai 2023 (erster Schutz) und am 9. Januar 2024 (zweiter Schutz) veröffentlichten Windows-Sicherheitsupdates anwenden, um die erforderlichen Sicherheitsabhilfen zu implementieren.
  • Die Sperrungen werden programmgesteuert am 9. Juli 2024 erzwungen.¹ Wenn also bei einem Gerät die Festplatte ausgetauscht wird, die vom alten Start-Manager beibehalten wird, kann es nach dem Erzwingungsdatum nicht gestartet werden.


Detaillierte Anweisungen von Microsoft

Bitte lesen Sie die Ankündigung von Microsoft zum aktuellsten Sicherheitsupdate für CVE-2023-24932.

KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support


Maßnahmen für Getac-Benutzer

Es wird empfohlen, für alle bootfähigen Medien ein Upgrade auf die aktuelle Version und ein Update mit dem neuen Start-Manager durchzuführen. Getac empfiehlt seinen Kunden, die unten aufgeführten Maßnahmen basierend auf verschiedenen Szenarien durchzuführen. Getac wird bootfähige Wiederherstellungsimages (erstellt von Getac Recovery Media Utility („GRMU“)²) und Tools zur Aktualisierung des Start-Managers auf der Wiederherstellungspartition veröffentlichen.

  • Das Image einer neuen Lieferung mit den neuesten Sicherheitsupdates³ und Start-Manager wird gemäß den Angaben in Tabelle A veröffentlicht. Für neue Lieferungen ab 9. Januar 2024 wird das Sicherheitsupdate nach der Veröffentlichung durch Microsoft bereitstehen. Getac wird den Status für den Image-Zeitplan nach seiner Veröffentlichung bekanntgeben. Eine detaillierte Auflistung entnehmen Sie bitte Tabelle A: <Implementierungsdatum für aktualisiertes Image>
  • Für aktuelle Kunden, die Getac-Geräte verwenden (geliefert vor dem 31. Juli 2023)
    Bitte stellen Sie sicher, dass die MIS-Abteilung von den unten aufgeführten Informationen Kenntnis hat, und bestätigen Sie, dass der alte Start-Manager entweder entfernt oder aktualisiert wurde. Dies ist wichtig, um jegliche Probleme beim Booten nach der Durchführungsphase von Microsoft am 9. Juli 2024 zu vermeiden.
      • Bitte führen Sie den Windows-Upgradeprozess durch, um die aktuelle Version der Windows-Updates zu installieren und besprechen Sie detaillierte Abhilfemaßnahmen mit Ihrer MIS-Abteilung. Bitte stellen Sie sicher, dass Sie alle von Microsoft veröffentlichten Updates installiert haben. Aktuell gibt es zwei angekündigte Update-Versionen (Versionen vom 9. Mai 2023 und 9. Januar 2024)
      • Wiederherstellungspartition: Bitte aktualisieren Sie den Start-Manager in der Wiederherstellungspartition mithilfe des Getac Recovery Partition Patch Tool, das im Getac-Serviceportal bereitgestellt wird. Bevor Sie das Getac Recovery Partition Patch Tool verwenden, müssen Sie sicherstellen, dass Sie das Sicherheitsupdate von Microsoft mit einer nach dem 9. Mai veröffentlichten Version durchgeführt haben. Diese Maßnahme ist entscheidend, damit der Start-Manager auf der Wiederherstellungspartition richtig funktioniert. Wenn der Kunde beschließt, die Sperrungen⁹ zu AKTIVIEREN, wiederholen Sie diesen Schritt bitte jedes Mal, wenn Sie mit Microsoft Update aktualisieren, um sicherzustellen, dass die Wiederherstellungspartition den aktuellsten Bootloader enthält.
  • Szenario einer Systemwiederherstellung mittels Wiederherstellungsimage oder Festplattenaustausch nach erzwungenen Sperrungen:
    Stellen Sie bitte sicher, dass Sie die nachstehenden Wiederherstellungsimages für die Systemwiederherstellung verwenden6.
      • Verwendung von GRMU8:
        Bitte laden Sie das aktuellste Windows-Image7 mit Sicherheitsupdate mittels GRMU² von https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038 herunter, um Wiederherstellungsmedien zu generieren und die Systemwiederherstellung durchzuführen4. Liste der unterstützten Modelle siehe Tabelle A: <Implementierungsdatum für aktualisiertes Image>. Die Versionen vom 9. Mai 2023 und vom 9. Januar 2024 sind beide zur Gewährleistung der Sicherheit erforderlich. Für benutzerdefinierte Projekte, die nicht auf der Liste aufgeführt sind, wenden Sie sich bitte an Ihren Account Manager und FAE.

Tabelle A: <Implementierungsdatum für aktualisiertes Image>

Modelle
(Einschließlich -EX, -IP-Produktvarianten)
Unterstützte OS-VersionNeue Lieferung mit Implementierungsdatum für Sicherheitsupdate*
(Version vom 9. Mai 2023)
Veröffentlichungsdatum für aktualisiertes Wiederherstellungsimage
(Version vom 9. Mai 2023)
Veröffentlichungsdatum für aktualisiertes Wiederherstellungsimage
(Version vom 9. Januar 2024)
X500G3, T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-312023-10-17TBD
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)
2023-07-312023-10-17TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17TBD
Windows 11 (22H2)2023-10-192023-10-17TBD
X600 ServerServer 20222023-07-31N/A**N/A

*Für benutzerdefinierte Projekte werden Lieferungen nach dem 31.10.2023 mit einem Microsoft-Sicherheitsupdate am 9. Mai ausgeliefert. Bitte wenden Sie sich für weitere Details an Ihre SA.

**X600-Server wird nicht von GRMU unterstützt. Bitte wenden Sie sich für weitere Details an das Serviceteam oder den Vertrieb.

HÄUFIG GESTELLTE FRAGEN

1Unter welchen Umständen würde das System nicht starten?

Ab 9. Juli 2024 wird Microsoft die Sperrung über ein Update erzwingen. Der alte Start-Manager wird zur Datenbank mit unzulässigen Signaturen hinzugefügt. Wenn ein Gerät in einem der folgenden Szenarien verwendet wird und der alte Start-Manger involviert ist, wird das Gerät nach dem 9. Juli 2024 nicht gestartet.

  • Der Benutzer tauscht seine HDD aus und bootet mit einem Betriebssystem, das nicht mit dem am 9. Mai 2023 veröffentlichten KB aktualisiert wurde.
  • Der Benutzer verwendet das Original-Image von GRMU für den USB-Start.
  • Der Benutzer bootet mit dem ursprünglichen WinPE über ein USB-Laufwerk.
  • Das Gerät wird per PXE in das Originalbetriebssystem gebootet.
  • Wenn die Wiederherstellungspartition nicht über den aktualisierten Bootmanager verfügt oder einen alten Bootmanager enthält.
2Können Nutzer den alten Bootmanager vor dem ersten Quartal 2024 freiwillig abbestellen?
Nach der Anwendung des Microsoft-Update vom 9. Mai können Benutzer anhand der Microsoft-Anweisungen den alten Start-Manager freiwillig bereits früher sperren. Gemäß dem Zeitplan von Microsoft wird dieser am 9. Juli 2024 gesperrt.
3Welche Szenarien können wir erwarten, wenn der Startvorgang entweder aufgrund der „finalen Durchführungsphase am 9. Juli 2024” oder der „manuellen Sperrung des alten Start-Managers“ durch einen Benutzer fehlschlägt?
  • Start-Manager: Wenn Benutzer den alten Start-Manager zum Booten auswählen, erscheint ein schwarzer Bildschirm und der Start-Manager wird wieder angezeigt.
  • Wiederherstellungspartition: Das System wird zu Beginn der Wiederherstellungspartition stoppen.
  • System-Boot: Das System überspringt dieses Boot-Gerät mit dem alten Start-Manager und bootet das nächste Boot-Gerät.

Wenn auf Sie eines der oben genannten Szenarien zutrifft und Sie das Gerät nicht booten können, finden Sie Vorschläge für Abhilfemaßnahmen in den folgenden FAQ.

4Was sollte ich tun, wenn das System nach der finalen Durchführungsphase am 9. Juli 2024 nicht gestartet wird?
Deaktivieren Sie Secure Boot im BIOS-Setup, installieren Sie das neueste Windows-Update und aktivieren Sie Secure Boot.
5Wird die IOT LTSC-Version von diesen Sicherheitsupdates unterstützt werden?
Ja, LTSC wird enthalten sein, solange es noch zum Lebenszyklus von Microsoft gehört. Die IOT-Version nach Win10 21H2 wird ebenfalls Support erhalten. Bitte erfragen Sie den detaillierten Supportstatus bei Microsoft5.
6Was passiert, wenn ein IOT LTSC-Kunde Windows Update oder das Internet deaktiviert hat? Wird das Gerät dann nach dem 9. Juli 2024 nicht mehr gebootet werden können?
MSFT wird die aufgelaufenen Updates einspielen, sobald WLAN oder Windows Update aktiviert ist. Das Gerät wird auf eine Version mit Sicherheitsupdates aktualisiert. Getac empfiehlt jedoch dringend die Aktualisierung auf die aktuellste Version mit Sicherheitsupdates.“
7Muss ich beide Update-Versionen vom 9. Mai 2023 und 9. Januar 2024 aktualisieren?
Ja, es sind zwei Schutzmaßnahmen erforderlich, um die Sicherheit zu gewährleisten. Vor der finalen Erzwingung am 9. Juli 2024 sollten Sie sicherstellen, dass Ihre Geräte und alle bootfähigen Medien (einschließlich Offline-Medien) aktualisiert und für diese Änderung der Systemhärtung bereit sind.

1 Einzelheiten zum Widerruf und zum Zeitpunkt der Aktualisierung entnehmen Sie bitte den Anweisungen von Microsoft.
2 Das GRMU-Image bestimmter Getac-Modelle wird aktualisiert, um das Microsoft-Update vom 9. Mai zu berücksichtigen.
3 Das Microsoft-Sicherheitsupdate für CVE-2023-24932 unterstützt nur aktuellere Versionen als Windows 10 21H2.
4 Nach der Wiederherstellung mit den oben genannten Wiederherstellungsimages wird die Wiederherstellungspartition gelöscht.
5 Informationen in Bezug auf unterstützte Versionen können von Microsoft geändert werden. Wenden Sie sich bitte an Microsoft direkt, um die aktuellsten Informationen zu erfragen. Microsoft behält sich das Recht vor, Änderungen vorzunehmen, und diese Änderungen stehen in keinem Zusammenhang mit Getac.
6 Sobald die neuen GRMU-Images mit dem aktualisierten Start-Manager zum Herunterladen zur Verfügung stehen, sind die älteren GRMU-Images nicht mehr zugänglich. Sie werden durch die neuen Images ersetzt werden, die den aktualisierten Start-Manager enthalten.
7 Die Knowledge Base (KB) von Microsoft bietet nur Sicherheitsupdates für aktuellere Versionen von Windows 10 nach 21H2. Die Original-Wiederherstellungsmedien werden jedoch mit der zum Zeitpunkt der Bestellung aktuellen Version geliefert. Wenn also die Sicherheitsupdates von Microsoft die aktuelle Version nicht unterstützen, bietet Getac die neueste updatefähige Version, Windows 10 22H2, an.
8 Wenn Sie ein Downgrade von Windows 11 Pro auf Windows 10 Pro über eine Microsoft-Volumenlizenz vorgenommen haben, wenden Sie sich bitte an Microsoft, um Unterstützung bei der Wiederherstellung und weitere Informationen zu erhalten.
9 Bitte entnehmen Sie weitere Informationen zur Selbst-Sperrung der Sicherheitsseite von Microsoft.


Getac-Haftungsausschluss: Alle Inhalte und anderen Informationen in dieser Stellungnahme oder im Zusammenhang mit dem hier beschriebenen Problem werden wie besehen zur Verfügung gestellt. Getac schließt hiermit jegliche ausdrückliche oder implizite Haftung aus, einschließlich und uneingeschränkt aller Zusicherungen der Marktfähigkeit oder Eignung für einen bestimmten Zweck sowie Nichtverletzung von geistigem Eigentum. Alle angegebenen Produkte, Informationen und Abbildungen sind basierend auf den aktuellen Erwartungen vorläufig. Getac behält sich das Recht vor, alle Inhalte jederzeit ohne vorherige Ankündigung zu ändern oder zu aktualisieren. Die Prüfungen von Getac basieren auf Schätzwerten oder Simulationen, die anhand einer internen Analyse, Architektursimulation oder Modellierung von Getac vorgenommen wurden, und bilden das tatsächliche Risiko der Installation bei Benutzern vor Ort möglicherweise nicht genau ab. Benutzern wird empfohlen, die Anwendbarkeit dieser Stellungnahme auf ihre jeweilige Umgebung zu prüfen und angemessene Maßnahmen zu ergreifen. Die Verwendung dieser Stellungnahme und alle damit verbundenen Folgen unterliegen ausschließlich der Verantwortung, dem Risiko und den zugehörigen Kosten des Benutzers. Getac oder ein Tochterunternehmen haften in keinem Fall für Ansprüche, Schäden, Kosten oder Auslagen, die aus den hierin enthaltenen Informationen hervorgehen oder mit diesen oder mit Maßnahmen, die der Benutzer aufgrund dessen ergreift, in Verbindung stehen, darunter Gewinnverluste, Datenverluste, Verluste potenzieller Geschäfte, Schadenersatz aufgrund von Ausgleichsleistungen, direkten, indirekten und Folgeschäden, verpflichtende und beiläufige Schadenersatzforderungen sowie Unterbrechungen der Geschäfte. Getac behält sich vor, diesen Haftungsausschluss nach Bedarf auszulegen und zu ändern.