Denn die Folge wären unzählige Windows-Bootmedien, die mit Secure Boot nicht mehr starten. Auch Backups und Network-Boot sind betroffen.
Eine Schwachstelle im Secure-Boot-Sicherheitsstandard aktueller Windows-Systeme verkommt nicht nur für Microsoft zu einer echten Herausforderung. Zwar gibt es inzwischen einen (zweiten) Patch, doch dieser bleibt vorerst inaktiv. Wer sich schon jetzt vor der Lücke schützen will, muss selber eingreifen. Doch Vorsicht: Alte Bootmedien lassen sich danach nicht mehr starten.
Microsoft behebt das Problem schon zum zweiten Mal
In dieser Woche hat Microsoft einen Patch für Windows 10 und 11 sowie mehrere Server-Varianten seines Betriebssystems verteilt, der eine Schwachstelle in Secure Boot beheben soll. Das Sicherheitsfeature ist eigentlich dafür da, dass die Firmware des Mainboards beim Bootvorgang infolge einer Signaturprüfung ausschließlich vertrauenswürdige Software ausführt.
Ursprünglich hatte der Konzern die Lücke (CVE-2022-21894) schon im Januar gestopft. Wie Ars Technica berichtet, gab es aber offenbar später Workarounds, mit denen sich das Feature, das in so ziemlich jedem halbwegs modernen Computer zugegen ist, erneut aushebeln ließ.
Eine Malware, die die Schwachstelle derzeit aktiv ausnutzt, sei demnach das BlackLotus-Bootkit. Damit sei es einem Angreifer möglich, schadhaften Code auszuführen, bevor das Betriebssystem überhaupt startet.
Windows-Patch für Secure-Boot-Bug macht alte Startmedien unbrauchbar
Nun gut, wenn es aber jetzt einen Patch gibt, ist das Problem doch erledigt, könnte man meinen. Ganz so einfach ist es aber nicht. Denn im Gegensatz zu anderen Bugfixes ist das Update für CVE-2023-24932 nach der Installation zunächst inaktiv. Und das nicht ohne Grund.
Der Patch hätte nämlich zur Folge, dass sich aktuelle Windows-Startmedien mit aktivem Secure Boot nicht mehr ausführen ließen. Er erfordert Anpassungen am Bootmanager des Betriebssystems, die nicht umkehrbar sind. Microsoft selbst warnt davor, dass die Aktivierung des Updates möglicherweise “Störungen verursacht und das Starten eines Systems verhindert”.
Es kann also passieren, dass der Patch insbesondere ältere bootfähige Medien unbrauchbar macht, da ihnen gewisse Korrekturen fehlen, die jedoch nach dem Update erforderlich sind. Das betrifft nicht nur Windows-Installationsmedien von physischen Datenträgern wie DVDs oder USB-Sticks.
Benutzerdefinierte Installationsabbilder und Netzwerk-Bootmedien, wie sie üblicherweise in IT-Abteilungen zum Einsatz kommen, sowie eigens erstellte System-Backups und Wiederherstellungsmedien von PC-Herstellern sind davon ebenfalls betroffen.
Secure Boot: Aktuelles Windows-Update ist der Erste von drei Schritten
Bei dem in dieser Woche bereitgestellten Patch handelt es sich also lediglich um einen ersten Schritt zur Fehlerbehebung. Benutzer können die Secure-Boot-Lücke auf ihrem Windows-System damit zwar schon schließen, doch dafür sind zunächst noch erhebliche manuelle Eingriffe erforderlich.
Mit einem Folgeupdate im Juli will Microsoft die Aktivierung des Patches dann erleichtern, wobei er dann noch immer nicht standardmäßig aktiviert ist. Wer nicht manuell nachhilft, bleibt somit weiter ungeschützt. Erst im ersten Quartal 2024 will der Konzern den Fix schließlich auf allen Systemen per Update aktivieren.
Doch das Kernproblem bleibt bestehen: Ältere Bootmedien funktionieren dann unter Umständen nicht mehr. IT-Abteilungen müssen also in den nächsten Monaten handeln, um nächstes Jahr keine böse Überraschung zu erleben.
