KB5012170 bedeutet vielen Windows-Benutzern viel. Erstens ist es ein Patch, der ohne Probleme installiert wird oder zu einem Blue Screen of Death (BSOD) führt. Es kann auch ein Hinweis darauf sein, dass wir Probleme haben, aktualisierte Treiber auf unsere Systeme zu bekommen. Dies kann zeigen, wie Benutzer mit Bios-Updates nicht Schritt halten. Und es zeigt, dass einige OEMs Bitlocker auf den von ihnen verkauften Systemen aktivieren (nicht unbedingt auf gute Weise).
Kurz gesagt, es ist ein problematischer Patch, der immer wieder auftaucht.
KB5012170, auch bekannt als „Sicherheitsupdate für Secure Boot DBX“, wurde Anfang des Jahres veröffentlicht und bringt Verbesserungen an der Datenbank für verbotene Signaturen von Secure Boot (DBX). Auf Windows-Geräten mit Unified Extensible Firmware Interface (UEFI)-basierter Firmware ist Secure Boot aktiviert. Stellt sicher, dass während des Startvorgangs nur vertrauenswürdige Software geladen und ausgeführt werden kann, indem kryptografische Signaturen verwendet werden, um die Integrität des Prozesses und der geladenen Software zu überprüfen.
Secure Boot wird häufig zusammen mit anderen Sicherheitsmaßnahmen verwendet, z. B. Trusted Platform Modules (TPMs) und Bootloadern, die die Schlüsselverwaltung unterstützen. Es soll vor Malware und anderen Arten nicht autorisierter Software schützen, die die Sicherheit gefährden könnten.
Normalerweise in der Gerätefirmware implementiert, kann Secure Boot so konfiguriert werden, dass nur vertrauenswürdige Software geladen werden kann, die mit einem vertrauenswürdigen Schlüssel signiert ist; Nicht genehmigte Software kann nicht ausgeführt werden.
Allerdings gibt es bei Secure Boot eine Umgehung der Sicherheitsfunktion; Fügt dem DBX gezielt Signaturen bekanntermaßen anfälliger UEFI-Module hinzu. Die Schwachstelle heißt „Boot Hole“ und könnte zur Umgehung von Secure Boot genutzt werden. (Hinweis: Damit ein Angriff stattfinden kann, benötigt der Angreifer Administratorrechte oder physischen Zugriff.)
Hier kommt KB5012170 ins Spiel.
Auf Geschäftscomputern, Regierungscomputern oder Systemen, die dem Risiko gezielter Angriffe ausgesetzt sind, ist dies die Art von Patch, die Sie installieren möchten. Aber auf PCs oder Systemen, die nicht regelmäßig gewartet oder mit Treiber- und Firmware-Updates aktualisiert werden, kann es mehr schaden als nützen. Zu den dokumentierten Nebenwirkungen gehören BSOD und der Fehler 0x800f0922. Sofern Sie das Update nicht blockieren, wird eine erneute Installation versucht. Ein Benutzer bemerkte in einem Reddit-Beitrag: „Ich musste meinen Computer neu starten und ein Update wartete auf einen Neustart, um die Installation abzuschließen. Ich habe neu gestartet und mein Computer konnte nicht gestartet werden. Ich hatte einen BSOD mit dem Fehler 0xc000021a, scheint bei älteren Versionen aufzutreten.“ Computer mit Setups, die geändert wurden, um die Treiberdurchsetzung zu deaktivieren.
An dieser Stelle ist es für Privatanwender am besten, eines der vorgestellten Tools auf Blockapatch.com zu verwenden, um KB5012170 proaktiv zu blockieren. Die Vorteile überwiegen die Risiken nicht.
Es gibt einen zweiten Nebeneffekt, der sich aus diesem Update ergibt. Bitlocker-fähige Arbeitsstationen können eine Bitlocker-Wiederherstellungsschlüsselanforderung auslösen. Dies kann ein Problem für Einzelpersonen und Personen mit Systemen sein, auf denen Bitlocker automatisch aktiviert ist. Wenn Sie nicht wissen, wo Ihr Bitlocker-Wiederherstellungsschlüssel gespeichert ist, müssen Sie Windows möglicherweise von Grund auf neu installieren. (Um festzustellen, ob Bitlocker aktiviert ist, klicken Sie auf Datei-Explorer und klicken Sie mit der rechten Maustaste auf Ihr C-Laufwerk. Wenn Sie die Option zum Deaktivieren von Bitlocker sehen, stellen Sie sicher, dass Sie wissen, wo Ihr Bitlocker-Wiederherstellungsschlüssel gespeichert ist (wenn Sie Ihren Computer mit einem Microsoft-Konto konfiguriert haben, er wird dort gespeichert. Wenn Sie nicht wissen, wo sich Ihr Bitlocker-Wiederherstellungsschlüssel befindet, setzen Sie ihn bitte zurück oder deaktivieren Sie ihn.)
Bei professionellen Patches müssen die Nebenwirkungen gegen die Risiken abgewogen werden, KB5012170 nicht zu installieren. Ich habe nicht viele Berichte über Unternehmens-BSODs gesehen, obwohl ich Berichte von Systemen gesehen habe, die einen Bitlocker-Wiederherstellungsschlüssel erfordern, wenn dieses Update bereitgestellt wird. Überprüfen Sie daher vor der Bereitstellung Ihre Systeme, um sicherzustellen, dass Ihre Firmware auf dem neuesten Stand ist.
Früher installierten Sie in kommerziellen Umgebungen Firmware-Updates bei der Bereitstellung und überprüfen sie nie wieder. Aber mit Windows 10 und Windows 11 können Sie sich dadurch nicht mehr sicher sein. Stellen Sie sicher, dass Sie über einen Prozess verfügen, um die Firmware zu inventarisieren und zu testen und entsprechend zu aktualisieren. Die Firmware sollte mindestens einmal jährlich überprüft werden. Jetzt, da Microsoft Feature-Releases in einen jährlichen Release-Kadenz verschoben hat, verwenden Sie diesen Zeitplan, um die Überprüfung und Aktualisierung von Firmware, Videotreibern, Audiotreibern und anderen wichtigen Hardwaretreibern, die mit dem System interagieren, einzubeziehen.
Da KB5012170 (oder etwas Ähnliches) wahrscheinlich wieder auftaucht, stellen Sie sicher, dass Ihr System darauf vorbereitet ist, indem Sie es proaktiv blockieren oder Ihre Firmware und Treiber auf dem neuesten Stand halten. Dies ist der beste Weg, um Probleme in der Zukunft zu vermeiden.
Copyright © 2022 IDG Communications, Inc.