Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich
Mit dem Patch 3193479 beziehungsweise 3200970 für aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr.
Option für UEFI Secure Boot im BIOS-Setup
Am 8. November hat Microsoft das Update KB 3193479 für Windows 8.1, 10, Server 2012, 2012 R2 und 2016 veröffentlicht, um eine Sicherheitslücke im Bootmanager in Bezug auf UEFI Secure Boot zu schließen. Dieses Update KB 319347, das auch im kumulativen Update KB 3200970 enthalten ist, führt aber auf manchen Systemen dazu, dass diese nicht mehr booten: Beispielsweise auf einigen Servern von Lenovo (x3250 M5, x3500 M5, x3550 M5, x3650 M5 und weitere). Diese können erst dann wieder booten, nachdem man ein BIOS-Update eingespielt hat.
Wiederholte Secure-Boot-Pannen
Die Vulnerability CVE-2016-7247/MS16-140 ist nicht die erste als "schwerwiegend" eingestufte Sicherheitslücke in UEFI Secure Boot – einer Technik, die eigentlich die Sicherheit von Systemen stärken soll.
Bereits im vergangenen Sommer hatte Microsoft mit mehreren Updates einen Secure-Boot-Fehler korrigiert, der sich sogar aus der Ferne nutzen ließ, und zwar mit einer speziellen Secure-Boot-Policy. Im aktuellen Fall geht es wiederum um spezielle Policies, mit denen sich Secure Boot aushebeln lässt, aber nicht mehr nur beim Windows 10 Anniversary Update (1607).
Verflechtung von Betriebssystem und BIOS
Besorgnis erregt auch die enge Verzahnung des Windows-Bootmanagers mit dem UEFI-BIOS beziehungsweise der Firmware: Der aktuelle Fall zeigt wieder einmal, dass auf manchen Systemen gleich zwei Updates nötig sind, um eine Lücke zu stopfen. Viele Mainboard- und PC-Hersteller tun sich aber mit raschen Reaktionen auf solche Probleme sehr schwer, wie die UEFI-Lücke vor zwei Jahren zeigte.
Links zum Thema:
- KB 3200970: Kumulatives Update für Windows 10 Version 1607 und Windows Server 2016
- KB 3193479: MS16-140: Sicherheitsupdate für Start-Manager
- Microsoft Security Bulletin MS16-140
- Vulnerability CVE-2016-7247
- System hangs at Lenovo splash screen after Windows Server 2016, 2012R2, or 2012 November update
- Kardinalfehler: Microsoft setzt aus Versehen Secure Boot schachmatt
- Windows-Update macht Minix-PC unbrauchbar
- US-Cert warnt vor weiteren UEFI-BIOS-Lücken
- Kommentar zur UEFI-Lücke: Sie lernen es einfach nicht
(ciw)
