Microsoft forceert installatie van Secure Boot-patch tegen bootkit pas in 2024

Microsoft gaat pas vanaf volgend jaar een update voor Secure Boot inschakelen voor alle Windows-gebruikers. Eerder deze week kwam het bedrijf met een update voor een bug waarmee aanvallers Secure Boot konden omzeilen, maar die wordt pas vanaf 2024 geforceerd.

Het gaat om de kwetsbaarheid CVE-2023-24932. Die werd eerder deze week gerepareerd tijdens Patch Tuesday. De bug is een zeroday die eerder door beveiligingsbedrijf ESET werd ontdekt. CVE-2023-24932 beschrijft een bootkit waarmee Secure Boot op Windows 10 en Windows 11 kan worden omzeild. De BlackLotus-bootkit werd in de praktijk ingezet, maar het is niet bekend waarvoor.

Hoewel er een patch voor de bootkit is uitgebracht, wordt die niet automatisch geïnstalleerd, zegt Microsoft. In een supportdocument schrijft het bedrijf dat de patch wel is uitgebracht, maar dat gebruikers die Secure Boot hebben ingeschakeld die zelf handmatig moeten installeren. Dat is een vrij ingewikkeld proces. Op 11 juli van dit jaar wil Microsoft een nieuwe release doen 'met extra updateopties die het uitvoeren van de beschermingsmaatregel versimpelen'. Wat die opties zijn, is niet bekend. Pas in het eerste kwartaal van 2024 komt er een definitieve release uit waarmee de Secure Boot voor alle gebruikers standaard wordt beschermd. Wel zegt het bedrijf te kijken of het proces niet sneller kan verlopen.

Microsoft zegt dat het nog zo lang wacht voor het de update definitief uitvoert omdat Secure Boot belangrijke systeemonderdelen stuk kan maken. "Secure Boot bepaalt heel precies welke opstartmedia mogen inladen wanneer het systeem opstart. Als deze fix niet goed is ingesteld, is er een kans op problemen waardoor een systeem helemaal niet meer opstart", zegt het bedrijf. Microsoft zegt wel dat de impact van de bootkit relatief klein is. Om die uit te buiten, hebben aanvallers fysieke toegang tot een machine nodig, of op zijn minst admintoegang.

Reacties (55)

kiddingguy 11 mei 2023 07:56

Is het -dus- raadzaam deze fix als consument dan direct door te voeren?

Doorgelezen maar qua bootable media maak ik eigenlijk altijd gebruik van de Media Creation Tool bij herinstallatie, direct gedownload vanaf de Microsoft site. Of ik download het direct (opnieuw) wanneer ik het nodig heb. Dan lijkt het weinig problematisch voor me te zijn... toch?

[Reactie gewijzigd door kiddingguy op 22 juli 2024 22:04]

wildhagen

Beveiliging en antivirus

@kiddingguy • 11 mei 2023 07:59

Nee, in principe zou ik het momenteel nog niet aanraden, tenzij je écht goed weet wat je doet. Dit ivm het risico dat je systeem niet meer wil booten, of niet meer goed functioneert.

Zeker omdat het risico al vrij beperkt is:

Microsoft zegt wel dat de impact van de bootkit relatief klein is. Om die uit te buiten, hebben aanvallers fysieke toegang tot een machine nodig, of op zijn minst admintoegang.

Zorg dus dat je niet als admin werkt, maar met 'just enough rights', zorg dat je UAC aan staat, en zorg dat kwaadwillenden niet fysiek bij je PC kunnen. Dan is het dus al niet meer te exploiten.

kiddingguy @wildhagen • 11 mei 2023 08:02

OK. Thx.
Probleem van niet-booten is wel een dingetje ja...

UAC staat aan, en mijn PC lock ik altijd standaard al via Win-L [als dat voldoende is]

LurkZ @kiddingguy • 11 mei 2023 08:21

Eerst een image maken.

Zwelgje @kiddingguy • 11 mei 2023 11:19

en BitLocker gebruiken is ook wel een must. anders kan iemand met een bootable stick buiten windows om je password aanpassen en dan alsnog op het systeem komen
https://support.microsoft...88-5f74-5105-741561aae838

kiddingguy @Zwelgje • 11 mei 2023 11:33

Ja dat grapje ken ik.

Ooit een keer gedaan onder Windows 10 [meen ik], daarna BitLocker verwijderd. Complete format van disk, in een andere computer gezet en paar dagen later kwam de Bitlocker-melding op bij het opstarten [groot blauw scherm] met eventjes de vraag of ik de key in wilde geven. #hoedan

Die had ik (natuurlijk) niet meer. Gelukkig was het een disk waar al mijn OneDrive docs op stonden, dus gelukkig ook in de MS Cloud - en vanuit daar gedownload op een nieuwe ssd zonder BitLocker.

TheBlackbird @kiddingguy • 11 mei 2023 13:26

Hardwarewijzigingen, maar ook het aanpassen van bvb. bootvolgorde triggert een beveiligingsmechanisme waarna je inderdaad de Bitlocker recovery key moet ingeven. Ik heb dit ook door scha en schande geleerd, dus intussen heb ik die key in m'n KeyPass vault staan. Verder geen issues met Bitlocker.

kiddingguy @TheBlackbird • 11 mei 2023 16:16

Naja, wat helemaal vaag was, was dat de SSD/BitLocker volledig (weer) unlocked was.

En kennelijk na een reformat, en de disk in een andere computer, zich weer geheractiveerd had. En ook zelfs nog op andere harde schrijven die dezelfde partieschijf had (in mijn geval bijvoorbeeld K:) had 'genesteld'. En nee, ik had geen virussen o.i.d..

bogy @wildhagen • 11 mei 2023 10:23

Hmmmz

Zeg dat eens tegen state funded intrusion teams, die dit oa gebruiken om een hypervisor over je Windows te installeren en oa bios/uefi rootkits installeren om toegang ook te bewaren als je clean reinstall doet... In combo met een 'tap' beheren ze ook je updates (ook Linux). Daarnaast gebruiken ze hacked certificaten zodat Windows hun tools gewoon accepteert...

Natuurlijk doen ze die dingen niet zomaar bij de staat, maar ze gaan veel verder dan 'blackhats' gaan

svenk91 @kiddingguy • 11 mei 2023 09:20

Wacht misschien op die update van juli, die het makkelijker moet maken om te installeren. Dan is er ook al wat meer ervaring binnen vanuit de IT professionals die zich er nu aan wagen. Tegen die tijd weer eens herevalueren, dan is er vast ook goed bekend of de media creation tool al werkt met de nieuwe patch

beerse 11 mei 2023 10:15

Volgens mij zit hier een stevige uitdaging in de volgorde van patchen en zo. Daarom zie ik hier een patch/update in stappen:

Om te beginnen gaat het om systemen die secure-boot aan hebben staan. Staat die niet aan dan heb je geen probleem. Dan is ook de vulnerability voor jou geen probleem, alles staat toch al open.

Dan moet voor het oplossen van deze secure boot vulnerability eerst het operating systeem worden aangepast: Hierbij wordt het voorbereid op de nieuwe secure-boot situatie. Details heb ik niet uitgezocht maar denk er aan dat drivers moeten worden bijgewerkt en security-keys toegevoegd.

Pas na het bijwerken van het operating systeem kan de boot/bios/uefi omgeving worden aangepast zodat ze de nieuwe/bijgewerkte zaken in het operating systeem ook gaat gebruiken. Daarbij moet dat allemaal blijken te werken. Mocht dat niet werken dan zou ze in eerste instantie nog terug kunnen vallen op de oude/vorige situatie zodat ze toch kan booten.

Uiteindelijk is het de bedoeling dat de nieuwe situatie ook geforceerd gaat worden, dat de oude/vorige situatie niet meer gebruikt kan en mag worden. Maar daarvoor moet de nieuwe dus wel werken.

Het is zeker wel belangrijk dat deze stappen rustig en bewust worden doorlopen. Natuurlijk kunnen tweakers zoals jij en ik dit wel even door drukken. Maar voor de patch routine van microsoft duurt het dus minimaal 3 slagen dus 3 maanden. En omdat microsoft ook weet dat gebruikers niet altijd elke maand alle patches doorvoeren en dat ook echt nazien en controleren nemen ze vooral voor de laatste stap de tijd tot medio 2024. Dat in de hoop dat de secure boot na een aantal herstarts (in even zo veel maanden) wel een keer wel werkt.

spikedradiator @beerse • 11 mei 2023 10:34

En dat alles signed is met de nieuwe sleutels zodat de oude revoked kunnen worden!
Anders en hier gaat het om: start het systeem niet meer op. Microsoft wil de tijd nemen opdat zoveel mogelijk klanten eerst alle updates (sleutels vooral) geinstalleerd hebben.

Om te controleren of secureboot (beveiligd opstarten) aan staat:

https://www.prajwaldesai....oot-status-on-windows-11/

[Reactie gewijzigd door spikedradiator op 22 juli 2024 22:04]

mikeoke 11 mei 2023 15:17

Bij Sophos is ook uitleg geplaatst over deze patch en hoe je dit zelf op de juiste volgorde kunt uitvoeren. (als je niet wilt wachten tot begin 2024)

Sophos: Microsofts most cautious patch ever

Je kunt zelf eenvoudig controleren of je gebruik maak van Secure Boot via MSINFO32
Daar zie je dan wat je Secure Boot State is

kiddingguy 11 mei 2023 07:48

Dus ze hebben een fix uitgebracht.... die nog niets fixt op dit moment?

Ja... je moet het nu nog wel allemaal zelf doen, maar let op... het kan ook fout gaan.

dasiro @kiddingguy • 11 mei 2023 08:03

ze forceren het: mensen klagen
ze forceren het niet: mensen klagen

je zou maar een dev zijn die zijn product probeert te onderhouden

nullbyte @dasiro • 11 mei 2023 08:15

Dat zal wel mee vallen. Er zullen weinigen klagen vanwege niet uitrollen. Dit levert immers geen directe problemen op. Wel uitrollen, tot de conclusie komen dat een klein percentage gebruikers niet meer op kan starten oid. Dat lever veel meer klagende gebruikers op.

Dat er altijd wel iemand klaagt, dat is altijd zo.

Verwijderd @dasiro • 11 mei 2023 09:16

Ze klagen als er problemen zijn met de kwaliteit van de patch.... Anders klagen gebruikers echt niet.
En door zulke uitspraken te doen erken je het probleem niet en doe je alsof het vreemd is dat mensen een werkend systeem eisen...

wildhagen

Beveiliging en antivirus

@kiddingguy • 11 mei 2023 07:51

Voor grote organisaties die het per se toch willen doorvoeren ivm bedrijfsbeleid kan dit wel degelijk handig zijn, ook al is het omslachtig kan het security wise toch verstandig zijn. Voor consumenten zal het inderdaad minder van belang zijn.

Ik heb het liever op deze manier, en dan grondig testen, dan dat ze het klakkeloos uitrollen, enforcen, en dan allerlei problemen die wereldwijd optreden omdat er tóch iets fout ging...

Wees blij dat je nu tenminste de mogelijkheid hebt om het door te voeren. Als ze niks hadden uitgebracht qua patch was het weer 'kijk eens, Microsoft geeft niks om security!!'. Ze kunnen het bij sommige mensen ook nooit goed doen, wat ze ook doen. Doen ze niks is het niet goed, doen ze wel iets is het óók weer niet goed.

30carbonclocks @kiddingguy • 11 mei 2023 09:00

De "fix" is in dit geval nieuwe Secure Boot instellingen. Alhoewel Windows nu wel zelf gebruik maakt van de nieuwe keys, moet Windows-installatiemedia, recovery media van OEMs en Linux-distributies die gebruik maken van de Microsoft keys (zoals Ubuntu, Fedora, etc.) ook gebruik maken van de nieuwe instellingen.

Als vandaag de oude keys zouden vervallen, zouden deze voorbeelden niet meer kunnen opstarten.

Yzord 11 mei 2023 07:49

Is dit niet een beetje de omgekeerde wereld? Er is dus een kwetsbaarheid die actief misbruikt wordt en er is ook een fix voor, maar die wordt pas over een jaar (!!) compleet en verplicht uitgerold omdat het te moeilijk zou zijn.

Dan is er toch iets mis met de opzet van je code als het de hardware ‘zo makkelijk’ kan schaden? En ik snap best dat je dat als bedrijf niet het risico wilt lopen dat het massaal gebeurt, maar was het dan niet beter geweest deze kwetsbaarheid even stil te houden totdat er een goede fix uit is of desnoods een workaround? Nu hebben kwaadwillenden ruim een jaar om er eens goed naar te neuzen en wellicht te misbruiken (wat dus al gebeurt).

Blokker_1999

Microsoft
Beveiliging en antivirus

@Yzord • 11 mei 2023 08:34

Er is ook effectief mitigatie actief, in combinatie met detectie in Defender. Om de kwetsbaarheid volledig te dichten en nieuwe aanvallen af te slaan zijn er evenwel bijkomende stappen nodig. Alleen hebben die een impact op het opstarten van de PC. Oude sleutels worden namelijk ongeldig verklaard wanneer je de handmatige stappen doorloopt, en dat betekend dan weer dat mensen een hoop bootable media gaan hebben die niet meer zal opstarten als je gewoon die revocation doet.

Mensen moeten daarvoor gewaarschuwd worden en tijd krijgen om hun bootable media aan te passen. Doe je dat niet en iemand wil van USB opstarten is de kans groot dat het systeem njet gaat zeggen.

locke960 @Blokker_1999 • 11 mei 2023 09:37

Ik vind dit wel een ontwerpfout in het Secure Boot concept. Het was te voorspellen dat zoiets een keer zou gebeuren. Secure Boot is een functie die je veiligheid zou moeten verbeteren. Als je fixes voor dergelijke functies niet snel en eenvoudig kunt uitrollen, dan doe je iets niet goed.

Blokker_1999

Microsoft
Beveiliging en antivirus

@locke960 • 11 mei 2023 10:56

Dit is helemaal geen ontwerpfout. Je kan de fix snel uitrollen, maar moet je bewust zijn van de gevolgen. En zeker bij consumenten is dat niet vanzelfsprekend.

CAPSLOCK2000

Beveiliging en antivirus

@Yzord • 11 mei 2023 10:49

Is dit niet een beetje de omgekeerde wereld? Er is dus een kwetsbaarheid die actief misbruikt wordt en er is ook een fix voor, maar die wordt pas over een jaar (!!) compleet en verplicht uitgerold omdat het te moeilijk zou zijn.

Ik vind het een lastig punt, om verschillende redenen, deels algemeen, deels specifiek voor deze situatie.

- De specifieke reden is dat je backups & bootable media niet meer werken na deze patch. Geen backups hebben en zelfs niet meer van usb/DVD kunnen booten is natuurlijk eigenlijk acceptabel dus ik snap dat MS dat niet van de ene op de andere dag aan kan zetten zonder vooraf te waarschuwen.

- Een verzachtende omstandigheid is dat de fix wel beschikbaar is en dat je dus zelf de fix kan installeren.

Dat is ook een bruggetje naar de algemene reden:

- De algemene reden is de vraag wie er verantwoordelijk is voor het patchen van je systemen?
MS is duidelijk verantwoordelijk voor het schrijven van de patch maar het installeren vind ik toch meer de verantwoordelijkheid van de systeembeheerder. Dit soort patches, met grote gevolgen, laten duidelijk zien waarom, daar is geen one-size-fits-all oplossing voor, je moet dus iemand hebben die zelf een inschatting kan maken.

- Een van mijn stokpaardjes is wel dat ik MS verwijt dat ze de wereld hebben wijsgemaakt dat computers zo moeilijk zijn dat je ze niet kan begrijpen maar dat hoeft ook niet met MS software, zegt MS...
Vanuit dat standpunt zou ik kunnen zeggen dat het dan ook de verantwoordelijkheid van MS is om te zorgen dat die systemen veilig blijven. Maar als ik die lijn doortrek kom ik in een hele enge wereld terecht waar je computer nog verder wordt dichtgetimmerd omdat MS (of welke leverancier dan ook) het risico niet kan nemen dat een gebruiker iets doms doet en dat je alleen nog door MS goedgekeurde software mag draaien, of zo iets. Dat is geen paranoïde angstdroom maar dagelijkse praktijk op vrijwel alle mobiele telefoons, zeker die van Apple.
Overigens heb je nog steeds geen garantie dat je dan ook altijd veilig bent.

- Een laatste algemene reden is dat ik vind dat Secure Boot fors wordt overschat en veel minder doet dan de meeste mensen denken. Het enige wat Secure Boot echt doet is de bootloader controleren. Vanuit de bootloader kun je ieder OS en ieder stuk software starten dat je wil. Sterker nog, op de meeste computers kun je secure boot zelfs eenvoudig uitzetten in de bios of er je eigen keys aan toe voegen.
Het maakt het wel moeilijker om malware te activeren vroeg in de boot maar niet helemaal onmogelijk.
De echte waarde van Secure Boot is vooral dat je achteraf, na het booten, kan zien welke software er precies is geladen. Zo weet je het in ieder geval als iets aan je systeem veranderd. Maar dat moet je dan wel monitoren.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 22:04]

Guru Evi @Yzord • 12 mei 2023 03:15

Het probleem in Windows is dat veel drivers en andere troep die je nodig hebt (anti-malware) niet door Microsoft gebouwd wordt maar door een groot aantal partijen en die allemaal eerst op Microsoft moeten wachten om hun drivers en updates te ondertekenen. Ik heb de update vandaag getest in een labo, en deze update maakt een baksteen zelfs van redelijk moderne (7 jaar oud) Dells omdat vb. Intel of AMD of Dell of nVIDIA en iedereen met firmware in het boot proces de UEFI, firmware, drivers etc moet herbouwen met nieuwe sleutels en de meeste kunnen tenminste geen up-to-date software overnacht herbouwen, zeker als ze ergens een oude source tree moeten vinden (het proces om via Microsoft een ondertekening te krijgen kan weken of maanden aanslepen als de ontwikkelaar er überhaupt nog om geeft)

Dat is tegenovergesteld van Linux of Mac waar alle drivers en daemons door de distro of de gebruiker gebouwd worden, en je hebt in geval van Linux volledige controle over de Secure Boot sleutels, je kunt vb. zelfs de gesloten nVIDIA drivers zelf ondertekenen en importeren, veel veiliger dan op een derde partij en ketens van signatures te ‘vertrouwen’.

En dit is altijd al het probleem geweest met hoe Microsoft de Secure Boot en drivers behandelt tov Apple of Linux, Microsoft wil liefst zelf alles ondertekenen ipv aan de klanten uit te leggen hoe ze hun eigen chain kunnen maken en wil liever dat Intel drivers bouwt dan Microsoft drivers voor hardware bouwt en in de kernel steekt. Dus elke keer er een bug is of een private key gelekt wordt (zoals recent van Intel) ga je dus hardware hebben die niet meer kan updaten omdat er ergens een ontwikkelaar is die je liever iets nieuw wil verkopen dan oude hardware te ondersteunen.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 22:04]

CriticalHit_NL 11 mei 2023 08:30

Dat is leuk, maar m'n recent geïnstalleerde i9 13900K systeem heeft op Windows 10 22H2 nog doodleuk secure boot uitstaan. Vermoed in de bios, het boeit me ook niet genoeg om dit ingeschakeld te hebben. Vraag me af wat ze in zo'n geval doen.

praseodymium @CriticalHit_NL • 11 mei 2023 10:14

Zonder Secure Boot ben je niet beschermd tegen bootkits. De BlackLotus-bootkit kan dan zonder enige beveiliging te omzeilen z'n werk doen, want er is immers geen beveiliging. Deze bug heeft dan ook geen aanvullende impact en patchen is ook niet nodig.

CriticalHit_NL @praseodymium • 11 mei 2023 13:10

Bedankt voor de reactie, dat is dan duidelijk.

Maar nu de Intel Bootguard keys ook uitgelekt zijn wat voor zin heeft secure boot dan überhaupt nog als ze toch bestanden als valide kunnen signeren en alsof bij de UEFI zaken kunnen aanpassen. Heb overigens niet gelezen of dit letterlijk voor alle merken qua moederborden/systemen geldt die op de Intel 11 t/m 13th generatie draaien, zelf draai ik Asus.

praseodymium @CriticalHit_NL • 11 mei 2023 15:03

Ook als een beveilingslaag een lek heeft biedt het nog steeds meerwaarde boven geen enkele beveiliging hebben. Geen enkel stuk software is 100% veilig, daarom gebruiken we virusscanners, firewalls en andere beveiligingsmaatregelen. Doordat al die lagen telkens een stukje veiligheid toevoegen wordt het een aanvaller aardig moeilijk, zo niet onmogelijk, gemaakt.

CriticalHit_NL @praseodymium • 11 mei 2023 18:14

Ja dat klopt inderdaad.

Hierom draai ik wel zaken als een betaalde antivirus i.c.m. een whitelist voor de firewall samen met een anti-exploit tool waarbij dat laatste toch eigenlijk steeds belangrijker wordt t.a.v. een traditionele AV gezien het ook ransomware en encryptie van bestanden e.d. tegenhoudt, maar bovenal ook gezond verstand en evt. gebruik van sandbox/virtualisatie omgevingen. Qua software houdt ik alles wel vaak up-to-date, behalve dan het eerder genoemde hierboven qua OS versie (wel patches) en bios updates, waarbij dat laatste eigenlijk sowieso geen routineklus hoorde te zijn en het laagdrempelig maken en integreren van zaken om de UEFI ervaring 'te verbeteren' zichzelf nu terug bijt.

Wolfos @CriticalHit_NL • 11 mei 2023 08:45

Het is niet stoer ofzo om gaten in je beveiliging te slaan. Waarom heb je überhaupt Windows 10 op een 13900k?

Even een herinnering dat op Windows 10 blijven geen optie is, want over twee jaar ziet het er zo uit.

[Reactie gewijzigd door Wolfos op 22 juli 2024 22:04]

CriticalHit_NL @Wolfos • 11 mei 2023 13:03

Het is geen kwestie of het stoer is of niet, het ging mij er meer om of het enige gevolgen heeft als Secure boot sowieso niet actief is als die patch wordt geïnstalleerd/forceert. Heb daar overigens niet actief voor gekozen Secure Boot niet te activeren maar het boeit me ook niet genoeg voor persoonlijk gebruik.

Bios updates draai ik ook nooit, zolang het stabiel is laat ik het zo, tevens bestaat de kans dat bij bios updates van de i9 13900K undervolten geblokkeerd wordt dus dat laat ik liever voor wat het is.
Overigens werkt Windows 10 meer dan prima (je mag dat hier best lezen) en wacht ik liever een tijdje af totdat Windows 11 eindelijk een beetje 'volwassen en stabiel' wordt en de features die er hier en daar zijn uitgesloopt t.a.v. Windows 10 er weer terug in worden gezet want de gebruikersvriendelijkheid gaat er niet op voorruit.

Recent ook meer dan genoeg problemen rondom Windows 11 die geen vertrouwen scheppen, die periode is met Windows 10 nu wel een beetje voorbij nu dat er geen nieuwe features meer worden toegevoegd (en ik mis er vrijwel geen). Stabiliteit gaat mijn inziens voor featuresets.

Sterker nog, de oude i7 3930K machine draaide tot eind 2021 nog Windows 7, wel met zo'n beetje alle recente patches maar ook dat geeft nul problemen, en een bios uit 2012. M'n oude i7 950 draait ook nog Windows 7 anno nu en een vriend heeft een i7 3960x SLI 680 4GB en i7 5960x SLI 1080Ti draaien onder Windows 7 zelfs lange tijd zonder recente patches, ook totaal geen issue.

En als je het wilt weten, ook UAC staat uit en Meltdown/Spectre e.d. is uitgezet geweest op de oude machines, voor mij is de performance belangrijker dan die minieme kans dat zoiets je zou raken, voor bedrijven akkoord overigens.

Overigens heb ik ook weinig op met de dubbele agenda van TPM, mooi leesvoer:
https://secret.club/2021/06/28/windows11-tpms.html

Op Windows 10 blijven geen optie?

Mwoah dat zie ik wel ergens in 2027, net zoals dat 'niet mogelijk was' met Windows 7. Pas daarna ga je uiteindelijk wel problemen krijgen met encrypties voor online verbindingen die dan niet meer up-to-date zijn en handshakes falen, of browser / Steam ondersteuning staakt, maar tot die tijd voorzie ik weinig problemen.

phytorank 11 mei 2023 07:51

Om die uit te buiten, hebben aanvallers fysieke toegang tot een machine nodig, of op zijn minst admintoegang.

Denk dat de meeste users op windows (in ieder geval in de prive omgeving) juist als admin zijn ingelogd. Dit is dus wel een serieus issue als je wat download waar malware in zit die hier misbruik van maakt…

wildhagen

Beveiliging en antivirus

@phytorank • 11 mei 2023 07:53

In veel bedrijven zijn users zeker niet standaard local admin, maar werken ze met 'just enough rights' om hun werk te kunnen doen, en niet meer dan dat. Dat is ongeveer Security Best Practices 1.01.

En daarnaast heb je nog zaken als UAC die ook het nodige nog tegenhouden.

Werken als admin is voor het overgrote merendeel van de users (ook prive) tegenwoordig ook totaal niet meer nodig Ja, in Windows XP moest het bijna wel, maar het securitybeleid van Vista en hoger is gelukkig aanzienlijk verbeterd.

phytorank @wildhagen • 11 mei 2023 09:26

Ben ik met je eens, daarom had ik ook aangegeven dat dit in ieder geval in de prive omgeving een issue is. UAC is inderdaad een maatregel, maar als ik kijk naar de gemiddelde persoon (zoals mijn ouders en zelfs mijn vriendin, die toch iets meer tech savvy is) dan klikken die blind op ja bij een UAC melding. Daarnaast hebben de meeste windows users op hun prive device een admin account, ondanks dat dit totaal niet nodig is.

GeroldM @phytorank • 12 mei 2023 01:15

Alle Windows computers hebben een Administrator account. Goed, bij de meeste computers is dit een gedeactiveerd account. Gebeurt automatisch wanneer er een gebruikers account word ingegeven tijdens installatie.

Is bij Linux trouwens hetzelfde en vast ook wel in MacOS. Maar de laatste krijg ik alleen voor de kiezen als kenissen Mac's brengen om na te kijken. Installeren doe ik deze niet. Windows en Linux wel.

Dat er geen admin account nodig is voor dagelijks gebruik, daarover zijjn we het wel eens. Maar tijdens de installatie-procedure? Voor de initiele opzet van het hele rechtensysteem is hett wel zo handig om dat via het admin account te doen. Is op zich niet zo'n probleem want het daaarna toch gedeactiveerd voor oplevering aan de initiele gebruiker.

bantoo @phytorank • 11 mei 2023 08:08

Windows heeft al 2 decennia UAC

rubenvb @bantoo • 11 mei 2023 10:35

UAC (eigenlijk gaat het dan altijd over "Same Desktop Elevation", wat natuurlijk gewoon die popup is) is not a security boundary, zie voor de volledige uitleg hier: https://learn.microsoft.c...able-user-account-control.

bantoo @rubenvb • 11 mei 2023 12:16

Hoe ben jij van plan om een bootkit te installeren zonder UAC tegen te komen?

trisje @phytorank • 11 mei 2023 09:47

Ja dat zal best, Maar dan zijn er ook tientalle andere gevaren voor je computer ook als uw computer geheel zonder software bugs is, door alleen maar als admin te zijn ingeloged. het is dus helemal niet zo ernstige issue als het lijkt.

spikedradiator 11 mei 2023 09:05

Top! net geinstalleerd en enforced.

CAPSLOCK2000

Beveiliging en antivirus

@spikedradiator • 11 mei 2023 11:38

Heb je ook nieuwe backups en bootable media gemaakt?

Triblade_8472 @CAPSLOCK2000 • 11 mei 2023 13:05

Wat is het doel van je reactie?

CAPSLOCK2000

Beveiliging en antivirus

@Triblade_8472 • 11 mei 2023 13:31

Deze persoon (en anderen) er op wijzen dat je na activeren van die patch nieuwe backups moet maken omdat je oude backups onbruikbaar zijn geworden, net als al je bootmedia en dat daar op dit moment nog helemaal geen oplossing voor is. Als je computer om een of andere manier niet meer boot zal je dus een volledige herinstallatie moeten doen.

Ik denk dat 99% van de gebruikers beter nog even kan wachten omdat ze niet beseffen dat je er een paar forse problemen bij krijgt. In sommige gevallen is dat de moeite waard, maar voor de meeste consumenten niet.

Laat ik het zo zeggen, als je liever al je data kwijt raakt (inclusief backups) en je computer 3 weken niet kan gebruiken dan dat je data gestolen wordt dán is het een goed idee om deze fix onmiddellijk te installeren.
Als je daar anders over denkt of geen mening hebt dan is mijn advies om deze patch nog niet te activeren.

GeroldM @CAPSLOCK2000 • 12 mei 2023 01:57

Als dit zo'n probleem is, dan dien je (als gebruiker) al maatregelen genomen te hebben om persoonlijke data, het besturingssysteem en gebruikersoftware allen op aparte partities te zetten.

Dan kost een herinstallatie je niet zoveel tijd, en ben je je persoonlijke data niet kwijt, Even een (zelfgemaakt) scriptje uitvoeren die alle links naar folders weer goed zet en je bent al grotendeels klaar met een compleet nieuw opgebouwd systeem.

Het maken van backups is natuurlijk belangrijk en na herinstallatie zijn al gemaakte backups nog steeds aan gort, zoals je al aangaf. Dus moet er wel een nieuwe worden gemaakt. Dat is door deze veel striktere scheiding veel minder werk dan je denkt. Mits de gebruiker de discipline op kan brengen om zijn/haar data en/of programmas gescheiden te houden van de systeem partitie.

Microsoft, in hun "wijsheid", zet vooral in om alles in 1 en dezelfde partitie te houden. Want dat is "makkelijker voor de gebruiker". Dat mag op het eerste gezicht ook zo lijken. En Microsoft wil dat je hun op hun blauwe ogen vertrouwd met je data, ze pushen zelfs hun OneDrive dienst in de cloud. Zij zijn er zich namelijk ook heel goed van bewust dat hun "alles op 1 hoop"-concept een nachtmerrie is voor backups. En hun OneDrive dienst (of welke andere cloud-opslag je voorkeur geniet), het is niet zo'n heel grote sprong om de dienst als een extra partitie te zien.

Persoonlijk pas ik dat concept liever thuis toe, want ik ben van mening dat mijn data mijn probleem is. Wens daarvoor geen maandelijks bedrag af te schrijven om dat probleem op Microsoft af te schuiven.

Ben zelf ook van mening dat wanneer een consument ziet dat met een beetje disclipine, het herinstalleren en backuppen helemaal niet zo'n probleem (of een ondankbare taak) hoeft te zijn. En door beter te compartimentaliseren het ook ineens een stuk makkelijker is om het maken van backups te automatiseren. Kan naar een lokale partitie, een portable hard disk, een NAS, 1 of meerdere cloud drives...hoe zij dat ook voor zichzelf in willen kleden.

Automatische backups maken het ook een stuk gemakkelijker om gemaakte backups (automatisch) te testen. En als je toch heel gemakkelijk en relatief snel je systeem van een nieuwe Windows installatie kan voorzien, dan is het nut van boot media vrijwel verdwenen. Een zorg minder aan het hoofd van de gebruiker. Iets dat ik als iets goeds bestempel.

En dat allemaal met een beetje disclipine om een strakke scheiding tussen data, systeem en gebruikersoftware strak te houden.

Misschien dat je dit zelf al jaren doet, dat weet ik dus niet. Maar vind het voor mezelf makkelijk op te houden. Heb het ook aan vrienden/kennissen/collega's laten zien hoe dit werkt en feedback was over het algemeen erg positief.

Kost me een uur of anderhalf om compleet van Windows besturingssysteem te wisselen. En daar is het downloaden en maken van een opstartbare pendrive bij inbegrepen.

Het terugzetten van een 'image' is natuurlijk sneller. Maar dat neemt redelijk veel opslagruimte in beslag. En dan ben je toch ook weer een boel tijd kwijt met Windows updates (als je image niet zo nieuw meer is). En de opslagruimte die verloren kan gaan doordat Windows er een handje van heeft om backups van alle gedownloade updates te bewaren, dat is ook jammer. Dan doe ik liever een "verse" installatie met een up-to-date iso. Scheelt me niet zoveel tijd en ik hou het systeem 'leaner and meaner'.

spikedradiator @CAPSLOCK2000 • 11 mei 2023 18:55

Jazeker! Staat netjes in de cloud.

WhiteDog 11 mei 2023 12:14

10.000 ontwikkelaars bij Microsoft en blijkbaar geen enkele die een sluitend automatisch proces kan maken om dit van A tot Z in orde kan brengen met deze nodige failsafes.

Maar bovenstaande dan wel van je klanten verwachten gebaseerd op instructies die met haken en ogen aan elkaar hangen.

Tegelijk vliegt de structurele feedback op Reddit, SO en GitHub je rond de oren.

Trek zelf jullie conclusies maar 😄

PepijnK @WhiteDog • 11 mei 2023 12:48

Er zijn ook een goede 2 miljard actieve Windows licenties op deze aardkloot. Als zelfs maar 1% van die computers zelf gebouwde PCs zijn dan heb je dus te maken met miljoenen verschillende configuraties van hardware en het moet allemaal werken.

10.000 ontwikkelaars is helemaal niet zo veel als je praktisch compatibiliteit moet garanderen met 20.000.000 verschillende configuraties.

Ga maar eens 2000 tweakers om hun exacte configuratie vragen en bedenk je dan, dat er gemiddeld 1 MS ontwikkelaar is op die hoeveelheid configuraties.

100% compatibiliteit garanderen is praktisch onmogelijk, maar toch is dat wat er ergens wel van MS verwacht wordt.

kh65 11 mei 2023 07:54

Misschien lees ik het verkeerd, maar in de vetgedrukte alinea zou toch moeten staan dat Microsoft eerder deze week kwam met een update die voorkomt dat aanvallers Secure Boot kunnen omzeilen?

Blokker_1999

Microsoft
Beveiliging en antivirus

@kh65 • 11 mei 2023 10:58

Ja, en die vereist op dit moment handmatige stappen vanwege de mogelijke gevolgen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (55)

Sorteer op:

Weergave: