无忧启动论坛

标题: 微软放大招：旧ISO镜像全部作废？ [打印本页]

作者: umaple 时间: 2023-5-17 00:10
标题: 微软放大招：旧ISO镜像全部作废？
本帖最后由 umaple 于 2023-5-17 19:39 编辑

本月微软通过累积更新发布一个新的修复程序解决 BlackLotus bootkit 漏洞，该漏洞允许攻击者绕过安全启动，即在 Windows 加载之前先启动恶意软件，这可以导致后续的安全防御策略失效，攻击者也可以窃取各种信息。

不过该漏洞无法远程触发，即攻击者必须物理接触目标设备才能发起攻击，但即便如此这对于高安全企业仍然是个非常大的威胁。

最初的漏洞 CVE-2022-21894 漏洞已经在 1 月份修复，但 CVE-2023-24932 漏洞则广泛影响 Windows 各个版本，包括但不限于 Windows 11、Windows 10、Windows 8.1、Windows 8、Windows Server 2008~2022。

但由于 Windows 8.1 及以下版本已经停止支持，所以这些操作系统不会再获得更新，但其他仍然受支持的系统则需要安装更新封堵这类漏洞。

有一点与众不同的漏洞：

与常规漏洞的修复策略不同，微软修复该漏洞是有所顾虑的，因为 2023-05 累积更新安装后，修复代码不会被启用，要在几个月后才会被启用。

这么做的原因是因为一旦启用修复程序，所有旧版 Windows 映像都无法正常启动，修复程序需要对 Windows 启动管理器进行修改，一旦修改后也无法撤销。

微软表示，安全启动功能精确控制启动操作系统时允许加载的启动映像，如果未正确启动该修复程序，则可能导致中断并阻止系统启动。

也就是后期用户至少需要使用 2023-05 月更新后的镜像进行部署或定制，之前的版本全部都会失效。

潜在影响是什么？

在这里我们不讨论 UEFI 恶意软件如何拿下物理机或在其中运行的虚拟机，毕竟这类恶意软件也不算罕见。

但修复这个漏洞的潜在影响比较大，主要是麻烦，因为无论是从微软官方直接下载的 ISO 镜像，还是使用诸如媒体镜像工具创建的 USB 或 DVD 启动盘，以及企业 IT 部门自己维护的 Windows 安装镜像都会失效。

更麻烦的是，之前系统的映像备份、网络启动驱动器等等全部都会失效，所以企业 IT 部门可能要花费巨量时间重新更新映像并进行定制和维护，这个过程还可能涉及大量设备需要重新做兼容性测试。

还有一点要提的是使用基于旧版本创建的 Windows PE 精简启动盘、OEM PC 提供的恢复介质也都会失效，也就是导致系统无法启动。

更新时间

更新将按如下所示发布：

初始部署阶段，此阶段从 2023 年 5 月 9 日发布的更新开始，并提供基本缓解措施；
第二个部署，此阶段从 2023 年 7 月 11 日发布的更新开始，这增加了对缓解此问题的支持；
强制措施，使缓解措施永久性的最终强制阶段。暂定计划在 2024 年第一季度。

届时所有已经安装过补丁的 Windows PC 都无法再使用旧的安装文件进行启动。

关于CVE-2023-24932漏洞的两个补丁：

KB5025885（仍存在漏洞，于是又发布了第二个补丁）：如何针对与 CVE-2023-24932 关联的安全启动更改管理 Windows 引导管理器吊销

KB5027455：有关阻止易受攻击的 Windows 启动管理器的指南

作者: hua_wuxin 时间: 2023-5-17 00:27
本帖最后由 hua_wuxin 于 2023-5-17 00:42 编辑

旧版镜像还是有条后路的：暂时关闭安全启动

作者: 824829522 时间: 2023-5-17 01:25
会有修改版的别慌

作者: 5962903 时间: 2023-5-17 05:51
关闭安全启动

作者: 窄口牛 时间: 2023-5-17 06:11
退出天朝的预演。先埋好坑，需要时候触发，当然不会是这个，多的是。

作者: kawasaki7601 时间: 2023-5-17 06:55
谢谢分享

作者: yyz2191958 时间: 2023-5-17 06:58
谢谢分享

作者: yanfengcao@ 时间: 2023-5-17 07:05
学习了

作者: lanren999 时间: 2023-5-17 07:29
系统漏洞一直都有没有漏洞反而觉的不正常。

作者: mmymq 时间: 2023-5-17 07:35
没所谓的

作者: naz7333 时间: 2023-5-17 07:56
谢谢楼主的分享!学习了

作者: ypcok 时间: 2023-5-17 08:06

窄口牛发表于 2023-5-17 06:11
退出天朝的预演。先埋好坑，需要时候触发，当然不会是这个，多的是。

对企业有潜在危害

作者: zhangz9 时间: 2023-5-17 08:13
感谢分享

作者: zlzx01 时间: 2023-5-17 08:15
不明觉厉

作者: hainanyingcong 时间: 2023-5-17 08:25

感谢分享！

作者: wxgwxg 时间: 2023-5-17 08:25

窄口牛发表于 2023-5-17 06:11
退出天朝的预演。先埋好坑，需要时候触发，当然不会是这个，多的是。

无所谓，实在不行就转linux阵营，又不是不能用

作者: 2011dsfive 时间: 2023-5-17 08:35
普通人不怕

作者: c5215016 时间: 2023-5-17 08:37
不怕，高手在人间

作者: bile_liang 时间: 2023-5-17 08:39
看起来很麻烦

作者: renshijian 时间: 2023-5-17 08:40
怎么感觉比所谓的漏洞，危害程度要严重一万倍？

作者: czg2008 时间: 2023-5-17 08:41
谢谢分享

作者: luntaner 时间: 2023-5-17 08:42
到 2024 年 Q1，第三次更新将默认启动该修复程序，届时所有已经安装过补丁的 Windows PC 都无法再使用旧的安装文件进行启动。

明白了

作者: yc2428 时间: 2023-5-17 08:58
谢谢分享

作者: 老只牛 时间: 2023-5-17 09:07
不出局的电脑。更新不了。

作者: lx5815 时间: 2023-5-17 09:13
谢谢分享

作者: hsis872 时间: 2023-5-17 09:24
这个漏洞貌似对个人没得任何影响

作者: iaanqrm 时间: 2023-5-17 09:37

作者: ebing 时间: 2023-5-17 09:44
问题是PE也无法启动，影响确实有点大。

作者: 大秦武士 时间: 2023-5-17 09:49
感覺是故意整出來的事端。

作者: jlshnlhj 时间: 2023-5-17 09:54
这种文章应该给个原文链接。

作者: wondaol 时间: 2023-5-17 10:06
有这回事？

作者: yyz2191958 时间: 2023-5-17 10:07
车到山前必有路

作者: weedflower 时间: 2023-5-17 10:12
谢谢楼主的分享!学习了

作者: jpt 时间: 2023-5-17 10:13

作者: Yuanshen 时间: 2023-5-17 10:14
谢谢楼主。

作者: hua_wuxin 时间: 2023-5-17 10:24

jlshnlhj 发表于 2023-5-17 09:54
这种文章应该给个原文链接。

https://support.microsoft.com/zh ... 9f832d#apply5025885

作者: 2012andyle113 时间: 2023-5-17 10:42
本来就没有启用过安全启动

作者: jlshnlhj 时间: 2023-5-17 11:14

hua_wuxin 发表于 2023-5-17 10:24
https://support.microsoft.com/zh-cn/topic/kb5025885-%E5%A6%82%E4%BD%95%E9%92%88%E5%AF%B9%E4%B8%8E- ...

谢谢回复。

作者: sulong 时间: 2023-5-17 11:51

真是这样岂不是很麻烦

作者: 窄口牛 时间: 2023-5-17 12:23
肯定不是安全启动的事，要旧光盘全部无效，legacy就肯定没了，只有新的efi了。转Linux也得新盘。

作者: 旁观者清 时间: 2023-5-17 12:33
谢谢提醒。

作者: fmszkp159 时间: 2023-5-17 12:44
感谢分享

作者: 窄口牛 时间: 2023-5-17 13:49
微软的说明和新闻稿有差距，所以被添油加醋的气氛搞的效果拉满。

作者: uol 时间: 2023-5-17 14:04
谢谢分享

作者: seeimpact153 时间: 2023-5-17 16:21
感谢分享

作者: shy20070509 时间: 2023-5-17 18:13
谢谢分享

作者: shy20070509 时间: 2023-5-17 18:29
真的假的？

作者: 求索 时间: 2023-5-17 18:39
没看明白，是安装了该补丁的电脑，用PE启动不了电脑？还是用PE启动不了PE自己？还是该补丁修改了主板BIOS，EFI，原有的启动机制都无效了？原来的安装光盘重新安装系统也不行了？？？

作者: umaple 时间: 2023-5-17 19:16

求索发表于 2023-5-17 18:39
没看明白，是安装了该补丁的电脑，用PE启动不了电脑？还是用PE启动不了PE自己？还是该补丁修改了主板BIOS， ...

是微软更新了启动管理器，导致5月9日之前的镜像、备份、PE和安装盘在应用了新补丁后，都无法启动了。

作者: 2012zhd 时间: 2023-5-17 20:55
是不是以后连pe也不能用了？

作者: huyz 时间: 2023-5-17 21:42
CAO，用不了更好。换DEEPIN

作者: umaple 时间: 2023-5-18 08:15
微软说5月9日发布了KB5025885和KB5027455这两个补丁，可是我翻遍了安全更新的页面，包括提升win10系统版本号的“2023 年 5 月 9 日 - KB5026361 (操作系统内部版本 19042.2965、19044.2965 和 19045.2965)”详情页，都没找到这两个补丁在哪。。。

KB5026361补丁包详情里，根本就没有这两个补丁呀！！

作者: shaunkelly 时间: 2023-5-18 08:55
反正整个世界都是他的，无所谓啊

作者: 铿锵玫瑰 时间: 2023-5-18 16:58
会不会是恶意埋坑？商业计划的一部分？

作者: umaple 时间: 2023-5-18 21:22

铿锵玫瑰发表于 2023-5-18 16:58
会不会是恶意埋坑？商业计划的一部分？

这个应该不至于吧
感觉没必要呀

作者: megatron 时间: 2023-5-19 04:20
这个影响还是很严重啊

作者: my9823 时间: 2023-5-19 06:12
感觉微软这么做，是看到自己的产品没办法统一管理，强制所有人更换到新版，方便后续暗箱。想要用它的产品，要么听话，要么被漏洞影响。问题来了谁知道这个漏洞他们有没有参与其中，毕竟操作系统版本的碎片化的分布，不好用来将来有一天的统一控制啊！

作者: jere4444 时间: 2023-5-19 11:55
希望不要有任何影響....XD

作者: w9908150 时间: 2023-5-19 12:00
这个影响还是很严重啊

作者: langyun 时间: 2023-5-23 16:00

my9823 发表于 2023-5-19 06:12
感觉微软这么做，是看到自己的产品没办法统一管理，强制所有人更换到新版，方便后续暗箱。想要用它的产品， ...

谁说旧版就没有漏洞呢

作者: loswdarmy 时间: 2023-5-24 11:22
方法1. 手动将更新后的下面文件，拷贝到旧系统对应的启动目录中，就可以正常启动了。
EFI\Boot\bootx64.efi
EFI\Microsoft\Boot\SKUSiPolicy.P7b
方法2. 关闭安全启动。

作者: wssltd 时间: 2023-6-14 18:15
本帖最后由 wssltd 于 2023-6-14 18:57 编辑

loswdarmy 发表于 2023-5-24 11:22
方法1. 手动将更新后的下面文件，拷贝到旧系统对应的启动目录中，就可以正常启动了。
EFI\Boot\bootx64.ef ...

另个网站讨论有个说法可能那个补丁会修改bios,修改的是uefi固件还是写入nvram难说,要看后续.如果是这样,应用了补丁后,旧版不关安全启动真的没法启动了.希望不是这样.还有说法是只是修改启动管理器.这样的话可能好点

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)