Kada ažuriranje Windows-a krene loše – slučaj problematične zakrpe

Ažurirati ili ne ažurirati, za korisnike Windows-a to je pitanje svakog meseca. A sa prošlomesečnim KB5012170, pazite da tačno odgovorite.

Autor: Susan Bradley

Svakog meseca, korisnici i administratori Windowsa dobijaju ažuriranja od Microsoft-a u utorak (ili sredu, u zavisnosti od toga gde se nalazite). I svakog meseca, većina korisnika primenjuje ista ažuriranja.

Ali treba li?

Primer: zakrpa KB5012170, objavljena 9. avgusta koja ili ne izaziva probleme — ili pokreće Bitlocker zahteve za oporavak ključeva ili uopšte neće da se instalira, zahtevajući da odete po ažuriranje firmvera. Ova zakrpa, nazvana Bezbednosna ispravka Security update for Secure Boot DBX, primenjuje se na skoro sva podržana izdanja operativnog sistema Windows. Konkretno, utiče na Windows Server 2012; Windows 8.1 i Windows Server 2012 R2; Windows 10, verziju 1507; Windows 10, verziju 1607 i Windows Server 2016; Windows 10, verziju 1809 i Windows Server 2019; Windows 10, verzije 20H2, 21H1 i 21H2; Windows Server 2022; Windows 11, verziju 21H2 (originalno izdanje) i Azure Stack HCI, verziju 1809, sve do Azure Stack Data Box-a, verziju 1809 (ASDB).

Auh!

Ali evo šta je u stvari: nemaju sve mašine iste faktore rizika. Ovo konkretno ažuriranje se bavi bezbednosnim rizikom gde „postoji ranjivost zaobilaženja bezbednosnih funkcija u bezbednom pokretanju sistema. Napadač koji je uspešno iskoristio ovu ranjivost može da zaobiđe bezbedno pokretanje i učita nepouzdani softver. Ovo bezbednosno ažuriranje rešava ranjivost tako što u DBX dodaje potpise poznatih ranjivih UEFI modula.“

Kao što je navedeno u Microsoftovim smernicama: „Da bi iskoristio ovu ranjivost, napadač bi morao da ima administrativne privilegije ili fizički pristup sistemu gde je bezbedno pokretanje konfigurisano tako da veruje Microsoftovom autoritetu za sertifikate (CA) objedinjenog proširenog interfejsa firmvera (UEFI). Napadač bi mogao da instalira pogođeni GRUB i pokrene proizvoljni kôd za pokretanje sistema na ciljnom uređaju. Nakon uspešnog iskorišćenja ove ranjivosti, napadač bi mogao da onemogući dalje provere integriteta koda, dozvoljavajući tako proizvoljnim izvršnim programima i drajverima da se učitaju na ciljni uređaj.“

Ne preporučujem ignorisanje ili blokiranje ažuriranja osim ako je rizik od neželjenih efekata veći od same zakrpe. U ovom konkretnom slučaju, napadaču je potrebno da se desi jedna od dve stvari.

  1. Moraju imati fizički pristup mašini. Za tipičnu kuću ili potrošača, ovaj rizik je mali. Napadači bi morali najpre da provale u vašu kuću, a zatim pokušaju da zaobiđu pokretač vašeg operativnog sistema. U stvarnosti, veća je verovatnoća da će vam ukrasti televizor, potražiti novac ili zgrabiti druge vredne stvari. Napadaču bi bilo mnogo lakše da vam ukrade računar ili čvrsti disk.
  2. Moraju da imaju administrativna prava na vašem računaru. Za prosečnog korisnika, ako napadač već ima administrativna prava na sistem, on tu nadgleda korisnička imena i akreditive za bankarske sajtove i druge osetljive informacije.

Još uvek nisam ubeđen da za većinu kućnih korisnika rizik po te mašine zaslužuje instalaciju ove zakrpe. Prečesto smo videli neželjene efekte koji su podjednako uticajni kao i sam rizik od napada. Kao što je navedeno na blogu Eclypsium: „U aprilu 2019, javno je obelodanjena ranjivost u načinu na koji Kaspersky Rescue Disk koristi GRUB2. U februaru 2020., više od šest meseci nakon što je puštena ispravljena verzija, Microsoft je pustio ažuriranje za opoziv ranjivog pokretačkog programa na svim Windows sistemima tako što je ažurirao UEFI listu opoziva (dbx) kako bi se blokirao poznati ranjivi Kaspersky pokretački program. Nažalost, to je dovelo do toga da su sistemi od više dobavljača naišli na neočekivane greške, uključujući i blokiranje uređaja, pa je ažuriranje uklonjeno sa svih servera za ažuriranje.“

Dakle, kada je KB5012170 pušten na određene mašine, bio je ponuđen svim mašinama — uključujući i virtuelne (čak i onima koje koriste zastarela podešavanja BIOS-a). Iako je velika većina dobro instalirala ažuriranje, neke mašine su bile eksplicitno blokirane, ali uključujući HP Elite seriju bez DBXEnabled, FUJITSU FJNBB38 i Mac Boot Camp prihvataju KB5012170 .

Tri pokretačka programa koja su ranjiva uključuju CryptoPro Secure Disk, drugi je alatka za testiranje i čišćenje diska po imenu Eurosoft UK, poslednji, Reboot Restore Rx Pro, koristi se za vraćanje promena na računaru nakon ponovnog pokretanja u učionici, kiosk računara, računari za goste hotela, itd. Čak i ako ne koristite ova tri ranjiva učitavača, dobićete ovo „ažuriranje BIOS-a“.

Ali neželjeni efekti mogu biti katastrofalni. Samo pitajte Mikea Terrill-a, koji piše Mike’s Tech Blog, koji je nedavno objasnio kako se loša strana krpljenja pokazala kod njega. Najverovatnije je imao računar poput određenih Dell ili HP modela koji postavljaju Bitlocker na svoj C: disk, a zatim ih ne opomenu da sačuvaju ključ za oporavak na poznatu lokaciju za rezervnu kopiju. (Obično, kada je Bitlocker podešen bilo Azure nalogom aktivnog direktorijuma bilo Microsoft nalogom, Bitlockerov ključ za oporavak se čuva i možete da se prijavite i pronađete ga. Ali određene mašine uključuju šifrovanje disk jedinice i ne prave rezervnu kopiju ključa ; ponovo pokrenete sistem nakon instaliranja KB5012170 i on traži lozinku za oporavak koju nemate.)

Neki korisnici su prijavili da im je sledeći postupak omogućio da ipak uspešno pokrenu operativni sistem:

  1. Ponovo pokrenite računar.
  2. Kada vidite logo svog uređaja na ekranu, nastavite da pritiskate F2.
  3. Uđite u ekran BIOS-a.
  4. U okviru General izaberite Boot Sequence.
  5. Zatim izaberite UEFI pa u okviru Security izaberite TPM 2.0 Security.
  6. Izaberite Enable i kliknite na Apply.
  7. U odeljku „Secure Boot“ izaberite Secure Boot Enable.
  8. Kliknite na Apply. Zatim ponovo pokrenite sistem.

Sve ovo je namenjeno da se istakne zašto ne bi trebalo da dodelite isti nivo rizika svakom ažuriranju. U ovom primeru, instaliranje ažuriranja i uključivanje zahteva za lozinkom za oporavak sistema koju ne znate uzrokuje isto toliko štete, ako ne i više, nego problem koji se rešava.

Microsoft mora da prizna i pruži dodatnu podršku za ažuriranja koja izazivaju neželjene efekte i da upozorava korisnike. Nije dovoljno dokumentovati zabrinutost u odeljku Known Issues – korisnici moraju biti sigurni da zakrpe neće oštetiti njihove sisteme. Od korisnika na samostalnim mašinama trebalo bi  pre ove vrste ažuriranja zatražiti da unesu Bitlocker ključ za oporavak, da bi se proverilo da imaju ključ. Ako to ne mogu da urade, ažuriranje bi trebalo da ih uputi kroz postupak da se ili onemogući Bitlocker, ili da se resetuje Bitlocker ključ za oporavak.

Zakrpe ne bi smele da škode. Ovo nije prvi put da je zakrpa za bezbedno pokretanje sistema izazvala dodatni bol i štetu, ali bi morao da bude poslednji. Izvor: COMPUTERWORLD