Stand: 31.10.2023
Wichtig:
Bitte beachten Sie, dass wir Sie hiermit über ein wichtiges Sicherheitsupdate von Microsoft informieren. Benutzer sollten die Hinweise lesen und die von Microsoft sowie nachstehend empfohlenen Maßnahmen ergreifen, die gelegentlich aktualisiert werden können, um sich vor der Umgehung der Secure Boot-Sicherheitsfunktion zu schützen und mögliche Sicherheitsrisiken und Systemausfälle zu vermeiden. Bitte beachten Sie auch, dass Microsoft bekannt gegeben hat, dass die empfohlenen Maßnahmen vor dem Übergang in die finale Durchsetzungsphase durchgeführt werden müssen, die vorläufig frühestens für den 9. Juli 2024 geplant ist. Bootfähige Medien können möglicherweise nicht gestartet werden. Das hat zur Folge, dass Ihre Getac-Geräte nach der finalen Durchsetzungsphase von Microsoft nicht mehr gestartet werden können, wenn die erforderlichen Schritte nicht der Reihe nach ausgeführt werden. Darüber hinaus beachten Sie bitte, dass Software, die von Getac mit oder ohne den Getac-Markennamen vertrieben wird (einschließlich unter anderem Systemsoftware), nicht unter die Getac-Garantie fällt. Getac ist nicht verantwortlich für Ansprüche, Schäden, Kosten oder Ausgaben, die aus der Nichtbeachtung der Anweisungen in Bezug auf das Microsoft-Sicherheitsupdate resultieren.
Hintergrund
Da die Secure Boot-Sicherheitsfunktion durch das BlackLotus UEFI-Bootkit umgangen wurde, das unter CVE-2023-24932 geführt wird, hat Microsoft Maßnahmen ergriffen und am 9. Mai 2023 KB5025885 und Sicherheitsupdates veröffentlicht, um die Widerrufe des Windows Boot Managers zu verwalten.
Die Sicherheitsupdates von Microsoft sind in vier Phasen¹ aufgeteilt, wobei die letzte Phase die Durchführung ist. Die finale Durchführungsphase, die permanente Abhilfen implementiert, ist für den 9. Juli 2024 geplant.
Risiko & Auswirkungen
Detaillierte Anweisungen von Microsoft
Bitte lesen Sie die Ankündigung von Microsoft zum aktuellsten Sicherheitsupdate für CVE-2023-24932.
Maßnahmen für Getac-Benutzer
Es wird empfohlen, für alle bootfähigen Medien ein Upgrade auf die aktuelle Version und ein Update mit dem neuen Start-Manager durchzuführen. Getac empfiehlt seinen Kunden, die unten aufgeführten Maßnahmen basierend auf verschiedenen Szenarien durchzuführen. Getac wird bootfähige Wiederherstellungsimages (erstellt von Getac Recovery Media Utility („GRMU“)²) und Tools zur Aktualisierung des Start-Managers auf der Wiederherstellungspartition veröffentlichen.
*Für benutzerdefinierte Projekte werden Lieferungen nach dem 31.10.2023 mit einem Microsoft-Sicherheitsupdate am 9. Mai ausgeliefert. Bitte wenden Sie sich für weitere Details an Ihre SA.
**X600-Server wird nicht von GRMU unterstützt. Bitte wenden Sie sich für weitere Details an das Serviceteam oder den Vertrieb.
Ab 9. Juli 2024 wird Microsoft die Sperrung über ein Update erzwingen. Der alte Start-Manager wird zur Datenbank mit unzulässigen Signaturen hinzugefügt. Wenn ein Gerät in einem der folgenden Szenarien verwendet wird und der alte Start-Manger involviert ist, wird das Gerät nach dem 9. Juli 2024 nicht gestartet.
Nach der Anwendung des Microsoft-Update vom 9. Mai können Benutzer anhand der Microsoft-Anweisungen den alten Start-Manager freiwillig bereits früher sperren. Gemäß dem Zeitplan von Microsoft wird dieser am 9. Juli 2024 gesperrt.
Wenn auf Sie eines der oben genannten Szenarien zutrifft und Sie das Gerät nicht booten können, finden Sie Vorschläge für Abhilfemaßnahmen in den folgenden FAQ.
Deaktivieren Sie Secure Boot im BIOS-Setup, installieren Sie das neueste Windows-Update und aktivieren Sie Secure Boot.
Ja, LTSC wird enthalten sein, solange es noch zum Lebenszyklus von Microsoft gehört. Die IOT-Version nach Win10 21H2 wird ebenfalls Support erhalten. Bitte erfragen Sie den detaillierten Supportstatus bei Microsoft5.
MSFT wird die aufgelaufenen Updates einspielen, sobald WLAN oder Windows Update aktiviert ist. Das Gerät wird auf eine Version mit Sicherheitsupdates aktualisiert. Getac empfiehlt jedoch dringend die Aktualisierung auf die aktuellste Version mit Sicherheitsupdates.“
Ja, es sind zwei Schutzmaßnahmen erforderlich, um die Sicherheit zu gewährleisten. Vor der finalen Erzwingung am 9. Juli 2024 sollten Sie sicherstellen, dass Ihre Geräte und alle bootfähigen Medien (einschließlich Offline-Medien) aktualisiert und für diese Änderung der Systemhärtung bereit sind.
1 Einzelheiten zum Widerruf und zum Zeitpunkt der Aktualisierung entnehmen Sie bitte den Anweisungen von Microsoft.
2 Das GRMU-Image bestimmter Getac-Modelle wird aktualisiert, um das Microsoft-Update vom 9. Mai zu berücksichtigen.
3 Das Microsoft-Sicherheitsupdate für CVE-2023-24932 unterstützt nur aktuellere Versionen als Windows 10 21H2.
4 Nach der Wiederherstellung mit den oben genannten Wiederherstellungsimages wird die Wiederherstellungspartition gelöscht.
5 Informationen in Bezug auf unterstützte Versionen können von Microsoft geändert werden. Wenden Sie sich bitte an Microsoft direkt, um die aktuellsten Informationen zu erfragen. Microsoft behält sich das Recht vor, Änderungen vorzunehmen, und diese Änderungen stehen in keinem Zusammenhang mit Getac.
6 Sobald die neuen GRMU-Images mit dem aktualisierten Start-Manager zum Herunterladen zur Verfügung stehen, sind die älteren GRMU-Images nicht mehr zugänglich. Sie werden durch die neuen Images ersetzt werden, die den aktualisierten Start-Manager enthalten.
7 Die Knowledge Base (KB) von Microsoft bietet nur Sicherheitsupdates für aktuellere Versionen von Windows 10 nach 21H2. Die Original-Wiederherstellungsmedien werden jedoch mit der zum Zeitpunkt der Bestellung aktuellen Version geliefert. Wenn also die Sicherheitsupdates von Microsoft die aktuelle Version nicht unterstützen, bietet Getac die neueste updatefähige Version, Windows 10 22H2, an.
8 Wenn Sie ein Downgrade von Windows 11 Pro auf Windows 10 Pro über eine Microsoft-Volumenlizenz vorgenommen haben, wenden Sie sich bitte an Microsoft, um Unterstützung bei der Wiederherstellung und weitere Informationen zu erhalten.
9 Bitte entnehmen Sie weitere Informationen zur Selbst-Sperrung der Sicherheitsseite von Microsoft.
Getac-Haftungsausschluss: Alle Inhalte und anderen Informationen in dieser Stellungnahme oder im Zusammenhang mit dem hier beschriebenen Problem werden wie besehen zur Verfügung gestellt. Getac schließt hiermit jegliche ausdrückliche oder implizite Haftung aus, einschließlich und uneingeschränkt aller Zusicherungen der Marktfähigkeit oder Eignung für einen bestimmten Zweck sowie Nichtverletzung von geistigem Eigentum. Alle angegebenen Produkte, Informationen und Abbildungen sind basierend auf den aktuellen Erwartungen vorläufig. Getac behält sich das Recht vor, alle Inhalte jederzeit ohne vorherige Ankündigung zu ändern oder zu aktualisieren. Die Prüfungen von Getac basieren auf Schätzwerten oder Simulationen, die anhand einer internen Analyse, Architektursimulation oder Modellierung von Getac vorgenommen wurden, und bilden das tatsächliche Risiko der Installation bei Benutzern vor Ort möglicherweise nicht genau ab. Benutzern wird empfohlen, die Anwendbarkeit dieser Stellungnahme auf ihre jeweilige Umgebung zu prüfen und angemessene Maßnahmen zu ergreifen. Die Verwendung dieser Stellungnahme und alle damit verbundenen Folgen unterliegen ausschließlich der Verantwortung, dem Risiko und den zugehörigen Kosten des Benutzers. Getac oder ein Tochterunternehmen haften in keinem Fall für Ansprüche, Schäden, Kosten oder Auslagen, die aus den hierin enthaltenen Informationen hervorgehen oder mit diesen oder mit Maßnahmen, die der Benutzer aufgrund dessen ergreift, in Verbindung stehen, darunter Gewinnverluste, Datenverluste, Verluste potenzieller Geschäfte, Schadenersatz aufgrund von Ausgleichsleistungen, direkten, indirekten und Folgeschäden, verpflichtende und beiläufige Schadenersatzforderungen sowie Unterbrechungen der Geschäfte. Getac behält sich vor, diesen Haftungsausschluss nach Bedarf auszulegen und zu ändern.
