Windows: Windows-Sicherheitspatch kann Bootmedien unbrauchbar machen

Das Blacklotus-Bootkit macht Microsoft zu schaffen. Mit der Software lassen sich nämlich Secure-Boot-Mechanismen umgehen, was Betriebssysteme wie Windows 11 potenziell angreifbar macht.

Mit einem Patch hat Microsoft bereits Vorkehrungen getroffen, Angriffe über die Sicherheitslücke CVE-2023-24932 zu verhindern. Allerdings wird der Patch aktuell noch standardmäßig deaktiviert ausgeliefert. Der Grund dafür ist klar: Dadurch funktionieren Bootmedien nicht mehr.

Würde Microsoft den Patch sofort aktivieren, könnten viele Kunden ihre vorformatierten Medien nicht mehr zum Starten nutzen. Dazu zählen etwa eigens erstellte DVDs mit Recovery-Partition, ISO-Dateien, das Booten von Netzwerkmedien und auch OEM-Installationen und Wiederherstellungsmedien. Die von Microsoft veröffentlichte Liste ist relativ lang.

Sicherheitslücke braucht lokalen Zugriff

Deshalb entschied sich Microsoft für ein etappenweises Ausrollen des Patches, so dass die Sicherheitslücke noch einige Monate lang ausgenutzt werden kann (via Ars Technica). Die erste Welle im Mai installiert den Patch und aktiviert ihn nicht.

Nur mit vielen Änderungen in den Einstellungen kann er doch in fünf Schritten aktiviert werden. Im Juli soll es dann einfacher werden, den Patch zu aktivieren. Erst im ersten Quartal 2024 soll er automatisch aktiviert werden und so ältere Bootmedien unbrauchbar machen.

Die Sicherheitslücke CVE-2023-24932 ermöglicht es, Secure Boot zu umgehen und Schadsoftware bereits beim Startvorgang des Betriebssystems auszuführen. Solche Software ist später besonders schwer zu erkennen und zu entfernen.

Allerdings brauchen Angreifer in diesem Fall physischen Zugriff auf das Gerät. Alternativ können sie die Software mit administrativen Rechten ausführen. Microsoft stuft die Lücke als wichtig ein und verzichtet auf die höchste kritische Gefahrenstufe.