[ad_1]
Hàng tháng, người dùng và quản trị viên Windows nhận được các bản cập nhật từ Microsoft vào Patch Thứ Ba (hoặc Thứ Tư, tùy thuộc vào vị trí của bạn). Và mỗi tháng, hầu hết người dùng đều áp dụng các bản cập nhật giống nhau.
Nhưng chúng ta có nên không?
Trường hợp điển hình: KB5012170, một bản vá được phát hành vào ngày 9 tháng 8 không gây ra sự cố nào – hoặc kích hoạt các yêu cầu khóa khôi phục Bitlocker hoặc hoàn toàn không cài đặt, yêu cầu bạn phải tìm bản cập nhật chương trình cơ sở. Bản vá này, được gọi là Bản cập nhật bảo mật cho Secure Boot DBX, áp dụng cho gần như tất cả các bản phát hành Windows được hỗ trợ. Cụ thể, nó ảnh hưởng đến Windows Server 2012; Windows 8.1 và Windows Server 2012 R2; Windows 10, phiên bản 1507; Windows 10, phiên bản 1607 và Windows Server 2016; Windows 10, phiên bản 1809 và Windows Server 2019; Windows 10, phiên bản 20H2, 21H1 và 21H2; Windows Server 2022; Windows 11, phiên bản 21H2 (bản phát hành gốc) và Azure Stack HCI, phiên bản 1809, tất cả các cách để Azure Stack Data Box, phiên bản 1809 (ASDB).
Chà.
Nhưng đây là vấn đề: không phải tất cả các máy đều có chung các yếu tố rủi ro. Bản cập nhật cụ thể này giải quyết rủi ro bảo mật trong đó “tính năng bảo mật vượt qua lỗ hổng bảo mật tồn tại trong khởi động an toàn. Kẻ tấn công đã khai thác thành công lỗ hổng bảo mật có thể bỏ qua khởi động an toàn và tải phần mềm không đáng tin cậy. Bản cập nhật bảo mật này giải quyết lỗ hổng bảo mật bằng cách thêm chữ ký của các mô-đun UEFI dễ bị tấn công đã biết vào DBX. ”
Như đã lưu ý trong hướng dẫn của Microsoft: “Để khai thác lỗ hổng này, kẻ tấn công sẽ cần có đặc quyền quản trị hoặc quyền truy cập vật lý trên hệ thống nơi Khởi động an toàn được định cấu hình để tin cậy Cơ quan cấp chứng chỉ giao diện phần mềm thống nhất mở rộng (UEFI) của Microsoft (CA). Kẻ tấn công có thể cài đặt GRUB bị ảnh hưởng và chạy mã khởi động tùy ý trên thiết bị mục tiêu. Sau khi khai thác thành công lỗ hổng này, kẻ tấn công có thể vô hiệu hóa các kiểm tra tính toàn vẹn của mã hơn nữa, do đó cho phép các tệp thực thi và trình điều khiển tùy ý được tải vào thiết bị mục tiêu ”.
Tôi không khuyên bạn nên bỏ qua hoặc chặn các bản cập nhật trừ khi nguy cơ tác dụng phụ lớn hơn bản thân miếng dán. Trong trường hợp cụ thể này, kẻ tấn công phải có một trong hai điều xảy ra.
- Họ phải có quyền truy cập vật lý vào máy. Đối với người tiêu dùng hoặc gia đình thông thường, rủi ro này là thấp. Những kẻ tấn công sẽ phải đột nhập vào ngôi nhà của bạn trước và sau đó cố gắng vượt qua bộ nạp khởi động của hệ điều hành của bạn. Trên thực tế, chúng có nhiều khả năng lấy cắp tivi của bạn, tìm tiền mặt hoặc lấy các vật có giá trị khác. Việc kẻ tấn công lấy cắp máy tính hoặc ổ cứng của bạn sẽ dễ dàng hơn nhiều.
- Họ phải có quyền quản trị đối với máy tính của bạn. Đối với người dùng bình thường, nếu kẻ tấn công đã có quyền quản trị đối với hệ thống, chúng sẽ theo dõi tên người dùng và thông tin đăng nhập của các trang web ngân hàng và các thông tin nhạy cảm khác.
Tôi vẫn chưa tin rằng đối với hầu hết người dùng gia đình, rủi ro đối với những chiếc máy này đảm bảo cho việc cài đặt bản vá này. Thông thường, chúng tôi đã thấy các tác dụng phụ có tác động tương tự như nguy cơ tấn công chính nó. Như đã lưu ý trong blog Eclypsium: “Vào tháng 4 năm 2019, một lỗ hổng trong cách GRUB2 được sử dụng bởi Kaspersky Rescue Disk đã được tiết lộ công khai. Vào tháng 2 năm 2020, hơn sáu tháng sau khi phiên bản cố định được phát hành, Microsoft đã đẩy một bản cập nhật để thu hồi bộ nạp khởi động dễ bị tấn công trên tất cả các hệ thống Windows bằng cách cập nhật danh sách thu hồi UEFI (dbx) để chặn bộ nạp khởi động Kaspersky dễ bị tấn công. Thật không may, điều này dẫn đến hệ thống của nhiều nhà cung cấp gặp phải lỗi không mong muốn, bao gồm cả thiết bị bị brick và bản cập nhật đã bị xóa khỏi máy chủ cập nhật ”.
Vì vậy, khi KB5012170 được phát hành cho một số máy nhất định, nó được cung cấp cho tất cả các máy – bao gồm cả máy ảo (ngay cả những máy sử dụng cài đặt Legacy BIOS). Trong khi phần lớn cài đặt bản cập nhật tốt, có một số máy bị chặn rõ ràng, mặc dù bao gồm dòng HP Elite không có DBXEnabled, FUJITSU FJNBB38 và Mac Boot Camp .. KB5012170 được
Ba bộ tải khởi động dễ bị tấn công bao gồm CryptoPro Secure Disk, một bộ khác là công cụ kiểm tra và gạt đĩa có tên là Eurosoft UK, bộ cuối cùng, Reboot Restore Rx Pro, được sử dụng để hoàn nguyên các thay đổi trong PC sau khi khởi động lại trong lớp học, máy tính kiosk, máy tính của khách của khách sạn, v.v. Ngay cả khi bạn không sử dụng ba bộ tải dễ bị tấn công này, bạn sẽ nhận được “bản cập nhật BIOS” này.
Nhưng các tác dụng phụ có thể rất tai hại. Chỉ cần hỏi Mike Terrill, người viết Blog công nghệ của Mike, người đã giải thích gần đây mặt xấu của việc vá lỗi đã gây ra cho anh ấy như thế nào. Rất có thể, anh ta đã có một máy tính như một số kiểu máy Dell hoặc HP nhất định thiết lập Bitlocker trên ổ C: của họ và sau đó không nhắc họ lưu khóa khôi phục vào vị trí sao lưu mà người đó biết. (Thông thường, khi Bitlocker được thiết lập bằng tài khoản thư mục hoạt động Azure hoặc tài khoản Microsoft, khóa khôi phục Bitlocker sẽ được lưu và bạn có thể đăng nhập và tìm thấy nó. Nhưng một số máy nhất định bật mã hóa ổ đĩa và không sao lưu khóa ; bạn khởi động lại hệ thống của mình sau khi cài đặt KB5012170 và nó yêu cầu mật khẩu khôi phục mà bạn không có.)
Một số người dùng đã báo cáo rằng việc làm theo các bước sau đã cho phép họ khởi động thành công vào hệ điều hành:
- Khởi động lại máy tính của bạn.
- Khi bạn thấy biểu trưng của thiết bị trên màn hình, hãy tiếp tục nhấn vào F2.
- Vào màn hình BIOS.
- Trong phần Chung, chọn Trình tự khởi động.
- Sau đó chọn UEFI và trong Bảo mật, chọn Bảo mật TPM 2.0.
- Chọn Bật và nhấp vào Áp dụng.
- Trong “Khởi động an toàn”, chọn Bật khởi động an toàn.
- Nhấp vào Áp dụng. Sau đó khởi động lại hệ thống.
Tất cả những điều này được thiết kế để làm nổi bật lý do tại sao bạn không nên ấn định cùng một mức độ rủi ro cho mọi bản cập nhật. Trong ví dụ này, việc cài đặt bản cập nhật và kích hoạt yêu cầu mật khẩu khôi phục bootlocker mà bạn không biết sẽ gây ra nhiều thiệt hại, nếu không muốn nói là nhiều hơn sự cố đang được sửa chữa.
Microsoft phải thừa nhận và hỗ trợ nhiều hơn cho các bản cập nhật gây ra tác dụng phụ và cảnh báo người dùng. Việc ghi lại những lo ngại trong phần Các vấn đề đã biết là không đủ – người dùng cần được đảm bảo rằng các bản vá lỗi sẽ không làm hỏng hệ thống của họ. Người dùng trên các máy độc lập nên được nhắc nhập khóa khôi phục Bitlocker trước các loại cập nhật này để đảm bảo họ có khóa. Nếu họ không thể làm như vậy, bản cập nhật sẽ nhắc họ thực hiện quá trình vô hiệu hóa Bitlocker hoặc đặt lại khóa khôi phục Bitlocker.
Các bản vá lỗi sẽ không bị tổn thương. Đây không phải là lần đầu tiên bản vá khởi động an toàn gây ra thêm đau đớn và thiệt hại, nhưng nó sẽ là lần cuối cùng.
Bản quyền © 2022 IDG Communications, Inc.
[ad_2]