Microsoft heeft een PowerShell-script uitgebracht om Windows-gebruikers en beheerders te helpen opstartbare media bij te werken, zodat het gebruikmaakt van het nieuwe “Windows UEFI CA 2023”-certificaat voordat de maatregelen tegen de BlackLotus UEFI-bootkit later dit jaar worden afgedwongen.

BlackLotus is een UEFI-bootkit die Secure Boot kan omzeilen en controle kan krijgen over het opstartproces van het besturingssysteem. Zodra het controle heeft, kan BlackLotus Windows-beveiligingsfuncties uitschakelen, zoals BitLocker, Hypervisor-Protected Code Integrity (HVCI) en Microsoft Defender Antivirus, waardoor het malware op het hoogste bevoegdheidsniveau kan inzetten zonder gedetecteerd te worden.

In maart 2023 en vervolgens juli 2024 heeft Microsoft beveiligingsupdates uitgebracht voor een Secure Boot-omzeiling die wordt gevolgd als CVE-2023-24932, die kwetsbare opstartmanagers die door BlackLotus worden gebruikt, intrekt.

Echter, deze oplossing is standaard uitgeschakeld, omdat het onjuist toepassen van de update of conflicten op apparaten ervoor kan zorgen dat het besturingssysteem niet meer laadt. In plaats daarvan wordt de oplossing in fasen uitgerold zodat Windows-beheerders deze kunnen testen voordat deze ergens vóór 2026 wordt afgedwongen.

Wanneer ingeschakeld, voegt de beveiligingsupdate het “Windows UEFI CA 2023”-certificaat toe aan de UEFI “Secure Boot Signature Database.” Beheerders kunnen vervolgens nieuwere opstartmanagers installeren die met dit certificaat zijn ondertekend.

Dit proces omvat ook het bijwerken van de Secure Boot Forbidden Signature Database (DBX) om het “Windows Production CA 2011”-certificaat toe te voegen. Dit certificaat wordt gebruikt om oudere, kwetsbare opstartmanagers te ondertekenen, en zodra het is ingetrokken, zullen deze opstartmanagers als onbetrouwbaar worden beschouwd en niet laden.

Echter, als je de maatregelen toepast en problemen ondervindt bij het opstarten van je apparaten, moet je eerst je opstartbare media bijwerken om het Windows UEFI CA 2023-certificaat te gebruiken om de Windows-installatie te troubleshooten.

“Als je een probleem ondervindt met het apparaat na het toepassen van de maatregelen en het apparaat niet meer kan opstarten, kun je mogelijk je apparaat niet starten of herstellen vanaf bestaande media,” legt Microsoft uit in een ondersteuningsbulletin over de gefaseerde uitrol van oplossingen voor CVE-2023-24932.

“Herstel- of installatiemedia moeten worden bijgewerkt, zodat ze werken met een apparaat waarop de maatregelen zijn toegepast.”

Gisteren heeft Microsoft een PowerShell-script uitgebracht dat je helpt opstartbare media bij te werken zodat het gebruikmaakt van het Windows UEFI CA 2023-certificaat.

“Het in dit artikel beschreven PowerShell-script kan worden gebruikt om Windows-opstartbare media bij te werken zodat de media gebruikt kunnen worden op systemen die het Windows UEFI CA 2023-certificaat vertrouwen,” legt een nieuw ondersteuningsbulletin uit over het script.

Het PowerShell-script kan worden gedownload van Microsoft en kan worden gebruikt om opstartbare mediabestanden bij te werken voor ISO CD/DVD-imagebestanden, een USB-flashstation, een lokaal schijfpad of een netwerkstationspad.

Om het hulpprogramma te gebruiken, moet je eerst de Windows ADK downloaden en installeren, wat noodzakelijk is voor dit script om correct te werken.

Wanneer het wordt uitgevoerd, zal het script de mediabestanden bijwerken om het Windows UEFI CA 2023-certificaat te gebruiken en de opstartmanagers te installeren die met dit certificaat zijn ondertekend.

Het wordt ten zeerste aangeraden dat Windows-beheerders dit proces testen voordat de afdwingingsfase van de beveiligingsupdates wordt bereikt. Microsoft zegt dat dit tegen het einde van 2026 zal gebeuren en zal een aankondiging van zes maanden doen voordat het begint.