News Patchday für Windows 11: Microsoft verteilt neue Secure-Boot-Zertifikate

[Hamburg]

1. Secure Boot Certificate Updates kamen schon mit dem Januar Sicherheits-Patch! Update in Rollen.
2. Musste ich "Install default keys" im BIOS wählen, damit die Ereignisanzeige keine Fehler mehr über ablaufende Zertifikate zeigt.
3. Interessant ist auch diese Ankündigung: "In the coming months, messages about the certificate update status will be available in the Windows Security App to help consumers track the certificate updates more closely."

 

[ramis]

@ramis Danke für die Info. Na ja, solange es noch startet, ist das den meisten Benutzern schnuppe, schätze ich. Wenn Microsoft wirklich was sicherer machen wollte, müssten sie den Start verweigern.
Das würde aber vermutlich zu millionenfachem Aufschrei führen. Würde ich als Firma auch nicht machen. Nach dem Windows 11 Imageschaden wäre es auch schlechtes Timing.

ich vermute mal das wird irgendwann auch passieren, spätestens wenn die neuen Zertifikate abgefragt werden, Neuinstallation vom neu erstellten USBStick zB? Nun ja, schnuppe wäre es mir ehrlich gesagt nicht. Alleine schon wegen dem Sicherheitsupdates. Ich würde mich aber auch nicht stressen lassen, sind noch paar Monate und bis dahin schauen ob nebenbei bei dir die Updates eingespielt worden sind. Was ich nur gelesen habe, damit MS das prüfen kann, muss man die TelemetrieDaten freigeben Überprüfen kannst du die Zertifikate einfach mit Powershell...

Install-Module UEFIv2 -Force
Get-UEFISecureBootCerts db | select -ExpandProperty signature | Where-Object Issuer -Like 'Microsoft' | Format-List

das KEK
Get-UEFISecureBootCerts kek | select -ExpandProperty signature | where Issuer -Like 'Microsoft' | Format-List

hm, blöder Code, Microsoft bitte mit * vor und hinter..

 

[xexex]

Wenn das so wäre wie du beschreibst, müsste jedes mal wenn irgendwo eine CA ausläuft sämtliche alte Software (die damit signiert wurde) neu signiert und neu verteilt werden. Womit du effektiv Software von vor 10 Jahren nicht mehr installieren oder nutzen könntest.

Wenn das CA Zertifikat abläuft, muss eine komplett neue Zertifizierungskette erstellt werden und die Software neu signiert werden, oder du musst das CA Zertifikat verlängern und neu ausrollen.

Übergang:

Neu:

Bei alten PCs die das neue Zertifikat nicht im UEFI haben, und neuen PCs die man mit einem "alten" System bespielen möchte, ist ein Secure Boot nicht möglich. Software die diesen Status zwingend voraussetzt, sollte somit ihre Funktion verweigern.

Software kann nach Ablauf einer CA übrigens normalerweise weiter laufen, man bekommt "nur" eine Meldung vom Sicherheitssystem. Hat man die Prüfung der Gültigkeit von digitalen Signaturen erzwungen, geht dann allerdings nichts mehr.

 

[Caramon2]

Interessant ist noch eine Lücke mit dem Schweregrad 8,8, die eine Remotecodeausführung in der Notepad-App ermöglicht. Angreifer könnten Nutzer dazu verleiten, in einer in Notepad geöffneten Markdown-Datei auf einen bösartigen Link zu klicken. Dadurch werden von der Anwendung nicht verifizierte Protokolle gestartet, die Remote-Dateien laden und ausführen.

Darauf, dass man sogar über die primitive notepad.exe das System infiltrieren kann, wäre ich nicht gekommen.

 

[prayhe]

Anwendungen die Secure Boot brauchen schlagen dann fehl. Also z.b AntiCheat, Bitlocker, Office365 Programme

Bitlocker braucht doch nur ein TPM, oder? Und dass Office Secure Boot braucht wäre mir auch ganz neu

 

[Mediendesigner]

jeden monat kommen mindestens 2 news wo ich mir denke "einglück habe ich immer noch kein win11", dieses system ist sowas von unfertig und total schlecht, benchmarks überall schlechter als in windows 10 und dann noch jeden monat irgendwelche fehler oder sowas wie hier, wozu solche updates, niemand hat sowas benötigt in den letzten 30 jahren mit boot updates.... keine ahnung was man da für einen mist rein programmieren muss aber MS muss es ja wissen...

 

[RAMSoße]

Wie läuft das eigentlich unter Linux ab? Das klingt ja alles etwas kompliziert was M$ da inplementiert hat.

 

[Besuz]

Solange Secure-Boot per Default Betriebssysteme mit Lücken bootet und M$ root-kits (vulgo Anti-Cheat) per Default zulässt bringt das keinen Nutzen.

Es ist gar nicht die Aufgabe von Secureboot zu "bewerten" was da für eine Software gestartet werden soll, hauptsache sie ist signiert.
Davon ab gibt es keine lückenlose Software. Wenn du also nicht möchtest, dass "Betriessysteme mit Lücken" gebootet werden, lösche einfach alle Keys. Nur das du außer bisschen im UEFI rumklicken dann mit dem PC nichts mehr machen kannst, weil gar keine Software mehr gebootet wird.

 

[Viper0201]

Aber so unprofessionell wie MS heutzutage auftritt wundert einen das gar nicht!

Alles was kein Geld macht hat keine hohe Priorität (siehe Xbox).

 

[Real-Duke]

Wie läuft das eigentlich unter Linux ab? Das klingt ja alles etwas kompliziert was M$ da inplementiert hat.

Die Frage stelle ich mir auch gerade für mein Mulitboot mit CachyOS und Windows 10.
Habe Secureboot in beiden BS aktiv und hoffentlich kommt hier nix durcheinander bei einem Windowsupdate...

 

[xexex]

Wie läuft das eigentlich unter Linux ab? Das klingt ja alles etwas kompliziert was M$ da inplementiert hat.

Bei MS kommt es dir kompliziert vor? Dann viel Spaß bei dieser Anleitung.
https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot

In der Praxis sollte es vermutlich mit einem simplen Update erledigt sein, ob unter Windows oder Linux, vorausgesetzt der Hersteller liefert ein aktuelles UEFI für das Board.

 

[Tzk]

Hmm, kann man die neuen Zertifikate ggf. selbst ins bios importieren? Dann wärs ja Latte…

 

[MaverickM]

Secure-Boot [...] M$ root-kits (vulgo Anti-Cheat)

Hat halt miteinander rein gar nichts zu tun.

 

[derohneWolftanzt]

Wie läuft das eigentlich unter Linux ab? Das klingt ja alles etwas kompliziert was M$ da inplementiert hat.

Wenn ich mich nicht erinnere war das bei meinem Mint XFCE in den letzten Wochen/Tagen irgendwann bei den Updates dabei.
Kannst gerade nicht überprüfen weil der neue Kernel dumm macht 😂😂

 

[agon]

kann man die neuen Zertifikate ggf. selbst ins bios importieren?

Ja, dazu habe ich in meinem "Arch Linux – Setup Guide" eine praktische Durchführung relativ kurz beschrieben.
FACEIT AC funktioniert bspw. auch ohne Probleme.

Derzeitige Keys nach Windows 11 Update (ohne Änderung):

Spoiler: Derzeitige Firmware Keys

  PK:
    /CN=my Platform Key
  KEK:
    /CN=my Key Exchange Key
    /C=US/O=Microsoft Corporation/CN=Microsoft Corporation KEK 2K CA 2023
  db:
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
    /CN=my Signature Database key
    /C=US/O=Microsoft Corporation/CN=Microsoft Option ROM UEFI CA 2023
    /C=US/O=Microsoft Corporation/CN=Microsoft UEFI CA 2023
    /C=US/O=Microsoft Corporation/CN=Windows UEFI CA 2023

In der Praxis sollte es vermutlich mit einem simplen Update erledigt sein

So ist es auch. "Microsoft Corporation UEFI CA 2011" bleibt weiterhin bestehen, weil bspw. selbst die RX 9070 diese noch benötigt. Entfernt man die, dann schaltet mein ASUS B850 Board Secure Boot automatisch aus.

 

[Dark_Soul]

jeden monat kommen mindestens 2 news wo ich mir denke "einglück habe ich immer noch kein win11", dieses system ist sowas von unfertig und total schlecht, benchmarks überall schlechter als in windows 10 und dann noch jeden monat irgendwelche fehler oder sowas wie hier, wozu solche updates, niemand hat sowas benötigt in den letzten 30 jahren mit boot updates.... keine ahnung was man da für einen mist rein programmieren muss aber MS muss es ja wissen...

Jaja, so ist das wenn man nur die negativen Nachrichten liest. Bei mir (und vielen anderen) läuft alles super.

 

[ShiftC]

Und spätestens dann ist mit aktiviertem Sceure-Boot der Start von Windows nicht mehr möglich. Allerdings hilft dann immernoch die deaktivierung von Secure-Boot im Bios.

Das ist nicht richtig. Wenn das so wäre, hätte Secure-Boot nicht mal aus Sicht von MS eine Daseinsberechtigung. Ganz nach dem Motto: Du kommst hier entweder mit Schlüssel rein, oder ohne!

Kurz: Windows bootet weiterhin. Auch erhält Windows weiterhin Updates (sofern nicht EoL). Der einzige Unterschied besteht darin, dass das System keine spezifischen Updates für den Boot Manager & Co. erhalten kann. Das bringt dann mit der Zeit die üblichen Verhältnisse, die man auch an anderen Stellen ohne fortführende Patches erhält: Theoretisch gestiegene Risiken durch Bekannt(er)werden von Angriffsvektoren, die wegen nicht erhaltener Updates noch offen sind.

Ein anderes Problem kann sein, dass neuere Hard- oder Software zum Arbeiten zwingend die neuen Zertifikate verlangen und deshalb nicht laufen.

Was passiert auf einem 6 Jahre alten Rechner mit MSI Mainboard, der nur offline mit Windows 11 betrieben wird. Ich spiele die MSU Updates manuell ein. Da es für das Board keine UEFI Updates mehr gibt, sollte ich die Zertifikatupdates manuell einspielen, oder muss ich Angst haben das der Rechner dann im Sommer nicht mehr startet?

Du musst keine Angst haben. Dein System wird nicht weniger lauffähig als vorher. Es wird booten und alles funzt wie gehabt. Für den Rest siehe den Text oben. MS ist wegen des KEK-Schlüssels selbst per Update in der Lage, die neuen Zertifikate in den Flash-Speicher des Mainboards reinzuschreiben.

Was ich aber definitiv empfehle ist, am besten schon vorgestern eure sofern aktive Bitlocker-Wiederherstellungscodes zu sichern. BitLocker hängt stark mit SecureBoot zusammen. Ein im BIOS nachträglich deaktiviertes SB führt sehr häufig zur Abfrage des Bitlocker-Wiederherstellungscodes und wer diesen nicht parat hat...

 

[Romanow363]

Bekommt man auch die Secure-Boot-Updates, wenn Secure-Boot deaktiviert ist?

 

[wagga]

Was bedeutet es denn, wenn die Secure-Boot Zertifikate auslaufen? Lässt sich Windows dann nicht mehr starten, oder "nur" nicht mehr installieren?

Gute Frage ich hoffe man kann es dann notfalls ausschalten.

Das alte Zertifikat ist von 2011 und MS wusste das das 2026 abläuft.
Und die fangen erst jetzt, so kurz vor Ladenschluss, damit an diese zu tauschen anstatt vor zb. 5 Jahren.

Das ist Microsoft.

Und spätestens dann ist mit aktiviertem Sceure-Boot der Start von Windows nicht mehr möglich. Allerdings hilft dann immernoch die deaktivierung von Secure-Boot im Bios.

Das wäre dann mein Plan B.

Auf MS wollte ich mich dann doch nicht verlassen. Vielleicht solltest du mal bei deinen Hersteller vorbeischauen, vielleicht gibt es ja noch ein BiosUpdate das dir gleich die neuen Zertifikate installiert.

Acer hat für meinen Laptop ein Secureboot BIOS update, schreibt aber das man wenn das System stabil läuft keine BIOS Updates einspielen sollte da es das Gerät dauerhaft beschädigen kann.

 

[kellyfornia]

jeden monat kommen mindestens 2 news wo ich mir denke "einglück habe ich immer noch kein win11", dieses system ist sowas von unfertig und total schlecht, benchmarks überall schlechter als in windows 10 und dann noch jeden monat irgendwelche fehler oder sowas wie hier, wozu solche updates, niemand hat sowas benötigt in den letzten 30 jahren mit boot updates.... keine ahnung was man da für einen mist rein programmieren muss aber MS muss es ja wissen...

Du hast eine sehr selektive Wahrnehmung.