Stellungnahme der Getac Technology Corporation zu Microsoft-Sicherheitsupdate

(Windows-Update KB5025885 für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932)

Stand: 05.06.2023

Hintergrund

Seit der Umgehung der Secure Boot-Sicherheitsfunktion durch das BlackLotus-UEFI-Bootkit (erfasst unter CVE-2023-24932) hat Microsoft durch Veröffentlichung von KB5025885 und Sicherheitsupdates am 9. Mai 2023 reagiert, um die Sperrungen des Windows-Start-Managers zu verwalten.

Die Sicherheitsupdates von Microsoft sind in drei Phasen¹ aufgeteilt, wobei die finale Phase die Durchsetzung ist. Die finale Durchsetzungsphase, die permanente Abhilfen implementiert, ist vorläufig für das erste Quartal 2024 geplant.


Risiko und Auswirkung

  • Die Schwachstelle im Zusammenhang mit dem BlackLotus-UEFI-Bootkit erlaubt es Angreifern, die Kontrolle über das Gerät zu gewinnen und es potenziell zu manipulieren. Es wird dringend empfohlen, dass alle Kunden, die am 9. Mai 2023 veröffentlichten Windows-Sicherheitsupdates anwenden, um die erforderlichen Sicherheitsabhilfen zu implementieren.
  • Die Sperrungen werden programmgesteuert im ersten Quartal 2024 erzwungen.¹ Wenn bei einem Gerät die Festplatte ausgetauscht wird, die vom alten Start-Manager beibehalten wird, kann es nach dem Erzwingungsdatum nicht gestartet werden.


Detailanweisungen von Microsoft

KB5025885: Verwalten der Windows-Start-Manager-Sperrungen für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932


Aktionen für Getac-Benutzer

Es wird empfohlen, für alle bootbaren Medien ein Upgrade auf die aktuelle Version durchzuführen. Getac empfiehlt seinen Kunden, die unten angegebenen Aktionen basierend auf verschiedenen Szenarien zu befolgen. Getac kündigt das Timing für bootbaren Images an, einschließlich der Wiederherstellungspartition und Getac Recovery Media Utility-ISO-Images („GRMU“)².

  • Für Kunden, die Getac-Geräte verwenden: Bitte führen Sie den Windows-Upgradeprozess durch, um die aktuelle Version von Windows zu installieren.
  • Systemwiederherstellung oder Festplattenaustausch nach erzwungenen Sperrungen:
    • Bei Verwendung des GRMU:

      Bitte laden Sie die aktuellen GRMU²-ISO-Images herunter, und führen Sie die Systemwiederherstellung durch.

    • Wiederherstellungspartition²:

      Getac veröffentlicht ein Tool zur Durchführung der erforderlichen Modifizierungen.

HÄUFIG GESTELLTE FRAGEN

1Unter welchen Umständen startet das System nicht?

Ab dem ersten Quartal 2024 erzwingt Microsoft die Sperrung über ein Update. Der alte Start-Manager wird zur Datenbank mit unzulässigen Signaturen hinzugefügt. Wenn ein Gerät in einem der folgenden Szenarien verwendet wird und der alte Start-Manger involviert ist, wird das Gerät nach dem ersten Quartal 2024 nicht gestartet.

  • Der Benutzer tauscht sein Festplattenlaufwerk und startet mit einem Betriebssystem, das nicht mit der am 9. Mai veröffentlichten KB aktualisiert wurde.
  • Der Benutzer nutzt das Original-Image des GRMU für den USB-Start.
  • Der Benutzer startet das Original-WinPE mit einem USB-Laufwerk.
  • Für das Gerät wird ein PXE-Start zum Original-Betriebssystem durchgeführt.
  • Wenn die Wiederherstellungspartition den aktualisierten Start-Manager nicht oder einen alten Start-Manager enthält.
2Was sollte ich tun, wenn das System nach der finalen Erzwingungsphase im ersten Quartal 2024 nicht gestartet wird?
Deaktivieren Sie Secure Boot im BIOS-Setup, installieren Sie das neueste Windows-Update und aktivieren Sie Secure Boot.
3Können Benutzer den deaktivierten Bootloader freiwillig vor dem ersten Quartal 2024 sperren?
Nach der Anwendung des Microsoft-Update vom 9. Mai können Benutzer anhand der Microsoft-Anweisungen den alten Start-Manager freiwillig sperren. Dieser wird im ersten Quartal 2024 gesperrt.
4Was sollte ich tun, wenn Microsoft keine Updates für die Windows-Version auf meinem Gerät bereitstellt?
Benutzer können ihre Windows 10-Version 22H2 über ein Windows-Update manuell aktualisieren, das auch das Start-Manager-Update umfasst. Alternativ können Benutzer auf eine Version mit Sicherheitsupdates aktualisieren, indem Sie die Wiederherstellungsmedien (GRMU) von Getac verwenden.³

¹ Details zu Sperrungen und zum Timing von Updates finden Sie in den Microsoft-Anweisungen.
² ³ Das GRMU-Image bestimmter Getac-Modelle wird aktualisiert, um das Microsoft-Update vom 9. Mai einzubeziehen. Das Veröffentlichungsdatum für die neue Version des GRMU und das Wiederherstellungspartitionstool wird separat bekanntgegeben.

Getac-Haftungsausschluss: Alle Inhalte und anderen Informationen in dieser Stellungnahme oder im Zusammenhang mit dem hier beschriebenen Problem werden wie besehen zur Verfügung gestellt. Getac schließt hiermit jegliche ausdrückliche oder implizite Haftung aus, einschließlich und uneingeschränkt aller Zusicherungen der Marktfähigkeit oder Eignung für einen bestimmten Zweck sowie Nichtverletzung von geistigem Eigentum. Alle angegebenen Produkte, Informationen und Abbildungen sind basierend auf den aktuellen Erwartungen vorläufig. Getac behält sich das Recht vor, alle Inhalte jederzeit ohne vorherige Ankündigung zu ändern oder zu aktualisieren. Die Prüfungen von Getac basieren auf Schätzwerten oder Simulationen, die anhand einer internen Analyse, Architektursimulation oder Modellierung von Getac vorgenommen wurden, und bilden das tatsächliche Risiko der Installation bei Benutzern vor Ort möglicherweise nicht genau ab. Benutzern wird empfohlen, die Anwendbarkeit dieser Stellungnahme auf ihre jeweilige Umgebung zu prüfen und angemessene Maßnahmen zu ergreifen. Die Verwendung dieser Stellungnahme und alle damit verbundenen Folgen unterliegen ausschließlich der Verantwortung, dem Risiko und den zugehörigen Kosten des Benutzers. Getac oder ein Tochterunternehmen haften in keinem Fall für Ansprüche, Schäden, Kosten oder Auslagen, die aus den hierin enthaltenen Informationen hervorgehen oder mit diesen oder mit Maßnahmen, die der Benutzer aufgrund dessen ergreift, in Verbindung stehen, darunter Gewinnverluste, Datenverluste, Verluste potenzieller Geschäfte, Schadenersatz aufgrund von Ausgleichsleistungen, direkten, indirekten und Folgeschäden, verpflichtende und beiläufige Schadenersatzforderungen sowie Unterbrechungen der Geschäfte. Getac behält sich vor, diesen Haftungsausschluss nach Bedarf auszulegen und zu ändern.