Den Startschuss markiert das Windows Assessment and Deployment Kit (ADK) in der Version 10.1.26100.2454 vom Dezember 2024, das bereits das neue Zertifikat im BCD Boot enthält.
Die Dringlichkeit dieser Änderung kann nicht genug betont werden. Das derzeit noch verwendete, verwundbare "Windows Production PCA 2011" Zertifikat ermöglicht es dem gefährlichen BlackLotus-Bootkit weiterhin, den Secure-Boot-Mechanismus zu umgehen und komplette Systemkompromittierungen vorzunehmen. Die bisherige Bereitstellungsphase von Mai 2023 bis Juli 2024 bot zwar manuelle Absicherungsmöglichkeiten - doch die entscheidende Phase steht unmittelbar bevor.
Der kritische Zeitpunkt rückt mit großen Schritten näher. Ab Februar 2025 werden Windows-ISOs ohne das neue Zertifikat nicht mehr mit aktiviertem Secure Boot starten. Diese Änderung wird unausweichlich kommen und lässt sich nicht aufschieben oder umgehen. Schon jetzt warnen Tools Ihre Nutzer vor dem Erstellen von Boot-Medien ohne das neue "Windows UEFI CA 2023" Zertifikat - ein deutliches Zeichen, dass unmittelbarer Handlungsbedarf besteht.
Die einzige verbleibende Alternative - die Deaktivierung von Secure Boot im UEFI - stellt ein erhebliches Sicherheitsrisiko dar und öffnet Angriffsvektoren für BlackLotus und andere Bootkits. Angesichts der aktuellen Bedrohungslage ist diese Option aus Sicherheitsgründen nicht zu empfehlen.
Zur Erinnerung
Die Schwachstelle CVE-2023-24932 (Mai 2023) erlaubt es BlackLotus, sämtliche Sicherheitsmechanismen wie BitLocker außer Gefecht zu setzen. Details zur Schwachstelle finden Sie in unserer News:
Die Situation erfordert zeitnahes Handeln. Die Integration des neuen Zertifikats in das Windows ADK ist die letzte Vorbereitungsphase vor dem endgültigen Rollout. Administratoren sollten die kommenden Wochen nutzen, um ihre Systeme und Deploymentprozesse anzupassen. Andernfalls drohen ab Februar 2025 erhebliche betriebliche Einschränkungen.
Wir unterstützen
Sollten Sie Unterstützung bei der Beseitigung des Exploits benötigen, können Sie sich an unser Kollegen über vertrieb@offlimits-it.com wenden oder sich direkt über unsere Telefonnummer +49(2222)99666-0 bei uns melden.