Microsoft heeft een PowerShell-script uitgebracht om Windows-gebruikers en -beheerders te helpen opstartbare media bij te werken, zodat het gebruikmaakt van het nieuwe “Windows UEFI CA 2023”-certificaat voordat de maatregelen tegen de BlackLotus UEFI-bootkit later dit jaar worden ingevoerd.

BlackLotus is een UEFI-bootkit die Secure Boot kan omzeilen en controle kan krijgen over het opstartproces van het besturingssysteem. Eenmaal in controle kan BlackLotus Windows-beveiligingsfuncties uitschakelen, zoals BitLocker, Hypervisor-Protected Code Integrity (HVCI) en Microsoft Defender Antivirus, waardoor het malware op het hoogste machtigingsniveau kan uitvoeren zonder te worden opgemerkt.

In maart 2023 en vervolgens juli 2024 bracht Microsoft beveiligingsupdates uit voor een Secure Boot-omzeiling, gevolgd als CVE-2023-24932, die kwetsbare opstartmanagers gebruikt door BlackLotus intrekt.

Echter, deze oplossing is standaard uitgeschakeld, omdat het verkeerd toepassen van de update of conflicten op apparaten ervoor kunnen zorgen dat het besturingssysteem niet meer laadt. Het gefaseerd uitrollen van de oplossing stelt Windows-beheerders echter in staat deze te testen voordat deze ergens voor 2026 wordt afgedwongen.

Wanneer ingeschakeld, zal de beveiligingsupdate het “Windows UEFI CA 2023”-certificaat toevoegen aan de UEFI “Secure Boot Signature Database”. Beheerders kunnen vervolgens nieuwere opstartmanagers installeren, die zijn ondertekend met dit certificaat.

Dit proces omvat ook het bijwerken van de Secure Boot Forbidden Signature Database (DBX) om het “Windows Production CA 2011”-certificaat toe te voegen. Dit certificaat wordt gebruikt om oudere, kwetsbare opstartmanagers te ondertekenen en zal, eenmaal ingetrokken, ervoor zorgen dat deze opstartmanagers als onbetrouwbaar worden beschouwd en niet worden geladen.

Als u echter de maatregelen toepast en een probleem ondervindt bij het opstarten van uw apparaten, moet u eerst uw opstartbare media bijwerken om het Windows UEFI CA 2023-certificaat te gebruiken voor het oplossen van problemen met de Windows-installatie.

“Als u een probleem ondervindt met het apparaat nadat de maatregelen zijn toegepast en het apparaat niet meer opstartbaar is, kunt u het apparaat mogelijk niet starten of herstellen vanaf bestaande media,” legt Microsoft uit in een ondersteuningsbulletin over de gefaseerde uitrol van oplossingen voor CVE-2023-24932.

“Herstel- of installatiemedia moeten worden bijgewerkt, zodat ze werken met een apparaat waarop de maatregelen zijn toegepast.”

Gisteren heeft Microsoft een PowerShell-script uitgebracht dat u helpt opstartbare media bij te werken, zodat het het Windows UEFI CA 2023-certificaat gebruikt.

“Het PowerShell-script dat in dit artikel wordt beschreven, kan worden gebruikt om Windows-opstartbare media bij te werken, zodat de media kunnen worden gebruikt op systemen die het Windows UEFI CA 2023-certificaat vertrouwen,” legt Microsoft uit.

Het PowerShell-script kan worden gedownload van Microsoft en kan worden gebruikt om opstartbare mediamapjes bij te werken voor ISO CD/DVD-afbeeldingsbestanden, een USB-flashstation, een lokale schijfpad of een netwerkschijfpad.

Om de hulpprogramma te gebruiken, moet u eerst de Windows ADK downloaden en installeren, wat nodig is om dit script correct te laten werken.

Wanneer het script wordt uitgevoerd, worden de media bijwerken om het Windows UEFI CA 2023-certificaat te gebruiken en de opstartmanagers te installeren die met dit certificaat zijn ondertekend.

Het wordt ten zeerste aanbevolen dat Windows-beheerders dit proces testen voordat de handhavingsfase van de beveiligingsupdates is bereikt. Microsoft zegt dat dit tegen het einde van 2026 zal gebeuren en zal een opzegtermijn van zes maanden geven voordat het begint.