Het Black Lotus-virus heeft een zwakte in Secure Boot blootgelegd. Omdat de patch ervoor kan zorgen dat je apparaat niet meer opstart, moet Microsoft het voorzichtig aanpakken.
Microsoft waarschuwde in april voor Black Lotus, een volgens experten uniek stukje malware. Black Lotus nestelt zich namelijk zodanig diep in de UEFI van het geïnfecteerde apparaat dat het de Secure Boot-functie van Windows weet te omzeilen. Secure Boot is een beveiligingsfunctie die schadelijke software in de kiem smoort bij het opstarten van het apparaat en wordt door Microsoft verplicht om naar Windows 11 te kunnen upgraden. Black Lotus is de eerste gekende malware die Secure Boot te slim af is.
Nu is Microsoft ook begonnen met het aanpakken van de kwetsbaarheid in Secure Boot die BlackLotus uitbuit. Op 9 mei is een patch uitgerold, maar daarmee is de kous nog lang niet af. Over twee maanden zal een additionele update volgen met extra ondersteuningopties. Pas in het eerste kwartaal van 2024 zal Microsoft de fix voor Secure Boot standaard configureren op elk apparaat.
Je vraagt je nu wellicht af waarom het hele proces een jaar in beslag moet nemen. De patch voert namelijk wijzigingen door aan welke opstartmedia mogen worden ingeladen wanneer je Windows opstart. Daarom moeten de opstartbare media zorgvuldig worden bijgewerkt, of hun opstartrechten worden ingetrokken door de update, en dat zou problemen kunnen geven bij het rebooten van Windows. Daarom dwingt Microsoft de aanpassingen aan Secure Boot nu nog niet hardhandig af.
Secure Boot bijwerken: zo ga je te werk
Het moge duidelijk zijn dat deze patch dus niet de wekelijkse beveiligingsupdate is die je blindelings kan installeren. Daarom reikt Microsoft ook een uitgebreide handleiding aan met de stappen die je dient te nemen. Eerst installeer je de meest recente onderhoudsupdate via het Updatemenu in de instellingen. Nu mag je het apparaat opnieuw opstarten vooraleer je doorgaat naar stap twee en drie.
Nu moet je voor alle opstartmedia controleren of de updatebestanden correct geïnstalleerd zijn. Microsoft raadt Enterprise-klanten aan om zeker naar volgende programma’s te kijken: Deployment Toolkit, Endpoint Configuration Manager, Deployment Services, PxE Boot en HTTPS-opstartscenario’s. Ook back-ups die voor 9 mei zijn gemaakt, moeten opnieuw geconfigureerd worden.
Pas in de derde en laatste fase pas je de intrekkingsbestanden toe. Doorloop daarvoor deze vijf stappen:
- Pas het opstartbeleid voor code-integriteit (SKUSiPolicy.p7b) toe.
- Pas UEFI Forbidden List (DBX) voor beveiligd opstarten toe.
- Start je apparaat opnieuw op.
- Controleer of de installatie- en intrekkingslijst correct is toegepast in het Windows-logboek.
- Een extra herstart is vereist om de intrekkingsbeveiligingen volledig te initialiseren. Wacht ten minste 5 minuten en start het apparaat vervolgens opnieuw op.