[English]Ich stelle mal ein Thema hier im Blog ein, was noch “ein paar Tage Zeit hat”, aber arg unangenehme Folgen haben könnte. Im Herbst 2026 läuft ein Zertifikat in Windows aus, welches im UEFI dafür sorgt, dass der Secure Boot ausgeführt werden kann. Zu diesem Zeitpunkt war das Zertifikat 15 Jahre gültig, aber alle Maschinen, die nicht aktualisiert werden, werden zum Stichtag nicht mehr im Secure Boot-Modus starten können.
Windows und das Secure Boot CA
Ich bin die Tage über nachfolgenden Tweet von Gunnar Haslinger auf das Thema gestoßen und stelle es heute mal hier im Blog zur Information ein.
Der Sachverhalt, um des es geht, ist mir wenigen Worten beschrieben. Microsoft nutzt ein UEFI-Zertifikat, welches sich in einer Datenbank befindet. Das von Microsoft in Windows propagierte Secure Boot greift auf dieses Zertifikat zu, um die Integrität zu prüfen. Secure Boot hängt also von der Gültigkeit dieses Zertifikats ab. Ist das Zertifikat in der Datei bootmgfw.efi auf der UEFI-Partition ungültig, kann die Maschine nicht mehr im Secure Boot starten.
Das Windows Production PCA 2011
Das bisher verwendete Zertifikat wurde aber vor langer Zeit, konkret im Jahr 2011, ausgestellt und läuft am Montag, den 19. Oktober 2026, nach 15 Jahren Gültigkeit, aus. Maschinen, die Secure Boot verwenden und bis zu diesem Zeitpunkt nicht aktualisiert wurden, können dann nicht mehr starten. Das dürfte vor allem Windows-Systeme betreffen, die keine Updates per Internet erhalten.
Das Black Lotus-Problem
Mit den Sicherheitsupdates von Mai 2023 hat Microsoft ja versucht, die Schwachstelle im Secure Boot, die durch die Hackergruppe BlackLotus und deren UEFI-Bootkit ausgenutzt wird, zu schließen. Die Schwachstelle CVE-2023-24932 bezieht sich auf eine Sicherheitslücke in dem in Windows-Betriebssystemen verwendeten Secure Boot, die das Ausführen nicht vertrauenswürdiger Software während des Startvorgangs ermöglicht.
Ich hatte im Blog-Beitrag BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11 berichtet. Und im Beitrag Windows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status? bin ich auf die Problematik eingegangen, dass Administratoren manuell eingreifen müssen, um den Secure Boot abzusichern.
Neues Windows UEFI CA 2023
Um das Problem mit dem auslaufenden Zertifikat zu lösen, hat Microsoft das Update KB5025885 zur Absicherung bereitgestellt (siehe KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus) vom Mai 2023). Es gibt zudem einen Supportbeitrag zum Update KB5025885, in dem sich der Hinweis findet, doch das Windows-Sicherheitsupdate vom 9. Juli 2024 oder ein späteres kumulatives Sicherheitsupdate unter Windows zu installieren, um die benötigten Absicherungen gegen Black Lotus zu bereitzustellen.
In diesem Blog-Beitrag findet sich auch der Hinweis, dass mit dem Update ein neues Zertifikat (Windows UEFI CA 2023) bereitgestellt wird, um das alte Windows Production PCA 2011 zu ersetzen. Administratoren in Unternehmensumgebungen finden im Supportbeitrag zu KB5025885 entsprechende Hinweise, welche Schritte zusätzlich auszuführen sind. Wer seine Windows-Systeme mit einem Schutz vor Black Lotus und der Secure Boot-Schwachstelle CVE-2023-24932 versieht, ist auch auf das oben skizzierte Szenario eines auslaufenden UEFI-Zertifikats vorbereitet.
Im Laufe des Jahres 2024 führt Microsoft dann verschiedene Härtungsmaßnahmen aus, die ich im Blog-Beitrag Update zur Windows-Härtung in 2024/2025 – Stand März 2024 angerissen habe.
Ähnliche Artikel:
BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11
KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)
Update zur Windows-Härtung in 2024/2025 – Stand März 2024