تاريخ النشر الأصلي: 13 فبراير 2025
معرف KB: 5053946
المقدمة
يصف هذا المستند نشر الحماية من تجاوز ميزة أمان Secure Boot التي تم الكشف عنها بشكل عام والتي تستخدم Bootkit BlackLotus UEFI التي تم تعقبها بواسطة CVE-2023-24932 لبيئات المؤسسة.
لتجنب الاضطرابات، لا تخطط Microsoft لنشر عوامل التخفيف هذه في المؤسسات ولكنها توفر هذه الإرشادات لمساعدة المؤسسات على تطبيق عوامل التخفيف نفسها. وهذا يمنح المؤسسات التحكم في خطة التوزيع وتوقيت عمليات التوزيع.
البدء
لقد قمنا بتقسيم التوزيع إلى خطوات متعددة يمكن تحقيقها على مخطط زمني يعمل مع مؤسستك. يجب أن تتعرف على هذه الخطوات. بمجرد أن يكون لديك فهم جيد للخطوات، يجب أن تفكر في كيفية عملها في بيئتك وإعداد خطط التوزيع التي تعمل لمؤسستك على المخطط الزمني الخاص بك.
تتطلب إضافة شهادة Windows UEFI CA 2023 الجديدة وإلغاء الثقة في شهادة MICROSOFT Windows Production PCA 2011 التعاون من البرنامج الثابت للجهاز. نظرا لوجود مجموعة كبيرة من أجهزة الجهاز والبرامج الثابتة، وMicrosoft غير قادرة على اختبار جميع المجموعات، فإننا نشجعك على اختبار الأجهزة التمثيلية في بيئتك قبل النشر على نطاق واسع. نوصي باختبار جهاز واحد على الأقل من كل نوع يتم استخدامه في مؤسستك. يتم توثيق بعض مشكلات الجهاز المعروفة التي ستمنع عمليات التخفيف هذه كجزء من KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932. إذا اكتشفت مشكلة في البرنامج الثابت للجهاز غير مدرجة في قسم المشكلات المعروفة ، فاعمل مع مورد الشركة المصنعة للمعدات الأصلية (OEM) لمعالجة المشكلة.
نظرا لأن هذا المستند يشير إلى العديد من الشهادات المختلفة، يتم تقديمها في الجدول التالي لتسهيل الرجوع إليها ووضوحها:
|
ال CAs القديمة 2011 |
CAs الجديدة 2023 (تنتهي صلاحيته في عام 2038) |
المفتاح الوظيفي |
|
Microsoft Corporation KEK CA 2011 (تنتهي صلاحيته في يوليو 2026) |
Microsoft Corporation KEK CA 2023 |
توقيع تحديثات DB وDBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (تنتهي صلاحيته في أكتوبر 2026) |
Windows UEFI CA 2023 (PCA2023) |
توقيعات Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (تنتهي صلاحيته في يوليو 2026) |
Microsoft UEFI CA 2023 وMicrosoft Option ROM UEFI CA 2023 |
توقيع أدوات تحميل التمهيد التابعة لجهة خارجية وعناوين ROM للخيار |
هام تأكد من تطبيق آخر تحديثات الأمان على أجهزة الاختبار قبل اختبار الأجهزة مع عوامل التخفيف.
ملاحظة أثناء اختبار البرنامج الثابت لجهازك، قد تكتشف مشكلات تمنع تحديثات التمهيد الآمن من العمل بشكل صحيح. قد يتطلب ذلك الحصول على البرامج الثابتة المحدثة من الشركة المصنعة (OEM) وتحديث البرنامج الثابت على الأجهزة المتأثرة للتخفيف من المشكلات التي تكتشفها.
هناك أربعة عوامل تخفيف يجب تطبيقها للحماية من الهجمات الموضحة في CVE-2023-24932:
-
التخفيف 1: تثبيت تعريف الشهادة المحدثة (PCA2023) إلى DB
-
التخفيف 2:تحديث مدير التمهيد على جهازك
-
التخفيف 3:تمكين الإبطال (PCA2011)
-
التخفيف 4:تطبيق تحديث SVN على البرنامج الثابت
يمكن تطبيق عوامل التخفيف الأربعة هذه يدويا على كل جهاز من أجهزة الاختبار باتباع الإرشادات الموضحة في إرشادات توزيع التخفيف من المخاطر KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932، أو باتباع الإرشادات الواردة في هذا المستند. تعتمد جميع عوامل التخفيف الأربعة على البرنامج الثابت للعمل بشكل صحيح.
سيساعدك فهم المخاطر التالية في أثناء عملية التخطيط.
مشكلات البرامج الثابتة:يحتوي كل جهاز على برامج ثابتة مقدمة من الشركة المصنعة للجهاز. بالنسبة لعمليات التوزيع الموضحة في هذا المستند، يجب أن يكون البرنامج الثابت قادرا على قبول التحديثات ومعالجتها إلى Secure Boot DB (قاعدة بيانات التوقيع) وDBX (قاعدة بيانات التوقيع المحظورة). بالإضافة إلى ذلك، يكون البرنامج الثابت مسؤولا عن التحقق من صحة تطبيقات التوقيع أو التمهيد، بما في ذلك مدير تمهيد Windows. البرنامج الثابت للجهاز هو برنامج، ومثل أي برنامج، قد يكون لديه عيوب، وهذا هو السبب في أنه من المهم اختبار هذه العمليات قبل النشر على نطاق واسع.لدى Microsoft اختبار مستمر للعديد من مجموعات الأجهزة/البرامج الثابتة، بدءا من الأجهزة داخل مختبرات Microsoft ومكاتبها، وتعمل Microsoft مع شركات OEM لاختبار أجهزتها. تم تمرير جميع الأجهزة التي تم اختبارها تقريبا دون مشكلة. في بعض الحالات، رأينا مشكلات في البرنامج الثابت لا يعالج التحديثات بشكل صحيح ونعمل مع الشركات OEMs لمعالجة المشكلات التي ندركها.
ملاحظة أثناء اختبار جهازك، إذا اكتشفت مشكلة في البرنامج الثابت، نوصي بالعمل مع الشركة المصنعة للجهاز/الشركة المصنعة للمعدات الأصلية (OEM) لحل المشكلة. ابحث عن معرف الحدث 1795 في سجل الأحداث. راجع KB5016061: أحداث تحديث متغير التمهيد الآمن وDBX لمزيد من التفاصيل حول أحداث التمهيد الآمن.
تثبيت الوسائط:من خلال تطبيق التخفيف 3 والتخفيف 4 الموضحين لاحقا في هذا المستند، لن تكون أي وسائط تثبيت Windows موجودة قابلة للتمهيد حتى يكون للوسائط مدير تمهيد محدث. تمنع عوامل التخفيف الموضحة في هذا المستند مديري التمهيد القدامى والضعفاء من التشغيل عن طريق عدم الثقة بهم في البرنامج الثابت. يمنع هذا المهاجم من التراجع عن مدير تمهيد النظام إلى إصدار سابق واستغلال الثغرات الأمنية الموجودة في الإصدارات القديمة. يجب ألا يكون لحظر مديري التمهيد المعرضين للخطر أي تأثير على نظام التشغيل. ومع ذلك، سيمنع أي وسائط قابلة للتمهيد من البدء حتى يتم تحديث مديري التمهيد على الوسائط. يتضمن ذلك صور ISO ومحركات أقراص USB القابلة للتمهيد وتمهيد الشبكة (PxE وHTTP boot).
التحديث إلى PCA2023 ومدير التمهيد الجديد
-
التخفيف 1: تثبيت تعريفات الشهادة المحدثة إلى DB إضافة شهادة Windows UEFI CA 2023 الجديدة إلى قاعدة بيانات توقيع التمهيد الآمن ل UEFI (DB). بإضافة هذه الشهادة إلى DB، سيثق البرنامج الثابت للجهاز بتطبيقات التمهيد Microsoft Windows الموقعة بواسطة هذه الشهادة.
-
التخفيف 2: تحديث مدير التمهيد على جهازك تطبيق مدير تمهيد Windows الجديد الموقع مع شهادة Windows UEFI CA 2023 الجديدة.
تعد عوامل التخفيف هذه مهمة لقابلية خدمة Windows على المدى الطويل على هذه الأجهزة. نظرا لأن شهادة Microsoft Windows Production PCA 2011 في البرنامج الثابت ستنتهي صلاحيتها في أكتوبر 2026، يجب أن تحتوي الأجهزة على شهادة Windows UEFI CA 2023 الجديدة في البرنامج الثابت قبل انتهاء الصلاحية وإلا فلن يتمكن الجهاز من تلقي تحديثات Windows، ما يضعها في حالة أمان ضعيفة.
للحصول على معلومات حول كيفية تطبيق التخفيف 1 والتخفيف من المخاطر 2 في خطوتين منفصلتين (إذا كنت تريد أن تكون أكثر حذرا، على الأقل في البداية) راجع KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932. أو يمكنك تطبيق كلا التخفيفين عن طريق تشغيل عملية مفتاح التسجيل الفردي التالية كمسؤول:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
مع تطبيق عوامل التخفيف، سيتم مسح البتات في المفتاح AvailableUpdates . بعد تعيينه إلى 0x140 وإعادة التشغيل، ستتغير القيمة إلى 0x100 ثم، بعد إعادة تشغيل أخرى، سيتم تغييرها إلى 0x000.
لن يتم تطبيق التخفيف من مخاطر مدير التمهيد حتى يشير البرنامج الثابت إلى أنه تم تطبيق تخفيف شهادة 2023 بنجاح. لا يمكن تنفيذ هذه العمليات خارج الترتيب.
عند تطبيق كلا التخفيفين، سيتم تعيين مفتاح تسجيل للإشارة إلى أن النظام "قادر على 2023"، ما يعني أنه يمكن تحديث الوسائط ويمكن تطبيق التخفيف 3 والتخفيف 4.
في معظم الحالات، يتطلب إكمال التخفيف 1 والتخفيف 2 إعادة تشغيل اثنين على الأقل قبل تطبيق عمليات التخفيف بالكامل. ستساعد إضافة عمليات إعادة تشغيل إضافية في بيئتك على ضمان تطبيق عوامل التخفيف في وقت أقرب. ومع ذلك، قد لا يكون من العملي إدخال عمليات إعادة تشغيل إضافية بشكل مصطنع وقد يكون من المنطقي الاعتماد على عمليات إعادة التشغيل الشهرية التي تحدث كجزء من تطبيق تحديثات الأمان. يعني القيام بذلك تعطيلا أقل في بيئتك ولكن معرضا لخطر أخذ وقت أطول للحصول على الأمان.
بعد نشر التخفيف من المخاطر 1 والتخفيف من المخاطر 2 على أجهزتك، يجب عليك مراقبة أجهزتك للتأكد من تطبيق عوامل التخفيف عليها وأنها الآن "قادرة على 2023". يمكن إجراء المراقبة من خلال البحث عن مفتاح التسجيل التالي على النظام. إذا كان المفتاح موجودا وتم تعيينه إلى 1، فقد أضاف النظام شهادة 2023 إلى متغير Secure Boot DB. إذا كان المفتاح موجودا وتم تعيينه إلى 2، فإن النظام لديه شهادة 2023 في DB ويبدأ بمدير التمهيد الموقع 2023.
|
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
اسم قيمة المفتاح |
WindowsUEFICA2023Capable |
|
|
نوع البيانات |
REG_DWORD |
|
|
بيانات |
0 - أو المفتاح غير موجود - شهادة "Windows UEFI CA 2023" غير موجودة في DB 1 - شهادة "Windows UEFI CA 2023" موجودة في DB 2 - شهادة "Windows UEFI CA 2023" موجودة في قاعدة البيانات ويبدأ النظام من مدير التمهيد الموقع 2023. |
|
تحديث الوسائط القابلة للتمهيد
بعد تطبيق التخفيف 1 والتخفيف 2 على أجهزتك، يمكنك تحديث أي وسائط قابلة للتمهيد تستخدمها في بيئتك. يعني تحديث الوسائط القابلة للتمهيد تطبيق PCA2023 مدير التمهيد الموقع على الوسائط. يتضمن ذلك تحديث صور تمهيد الشبكة (مثل PxE وHTTP) وصور ISO ومحركات أقراص USB. وإلا، لن تبدأ الأجهزة التي تم تطبيق عوامل التخفيف من المخاطر بها من وسائط التمهيد التي تستخدم مدير تمهيد Windows الأقدم و2011 CA.
تتوفر هنا أدوات وإرشادات حول كيفية تحديث كل نوع من الوسائط القابلة للتمهيد:
|
نوع الوسائط |
مورد |
|
ISO ومحركات أقراص USB وما إلى ذلك |
KB5053484: تحديث وسائط Windows القابلة للتمهيد لاستخدام مدير التمهيد الموقع PCA2023 |
|
خادم تمهيد PXE |
الوثائق التي سيتم توفيرها لاحقا |
أثناء عملية تحديث الوسائط، يجب أن تتأكد من اختبار الوسائط باستخدام جهاز يحتوي على جميع عوامل التخفيف الأربعة في مكانها. سيؤدي التخفيفان الأخيران إلى حظر مديري التمهيد الأقدم والضعفاء. يعد وجود وسائط مع مديري التمهيد الحاليين جزءا مهما من إكمال هذه العملية.
ملاحظة نظرا لأن هجمات التراجع عن مدير التمهيد هي حقيقة واقعة ونتوقع تحديثات مستمرة لمدير تمهيد Windows لمعالجة مشكلات الأمان، نوصي بأن تخطط المؤسسات لتحديثات الوسائط شبه العادية وأن يكون لديها عمليات لجعل تحديثات الوسائط سهلة وأقل استهلاكا للوقت. هدفنا هو الحد من عدد تحديثات مدير تمهيد الوسائط إلى مرتين على الأكثر في السنة، إن أمكن.
لا تتضمن الوسائط القابلة للتمهيد محرك أقراص نظام الجهاز حيث يوجد Windows عادة ويبدأ منه تلقائيا. تستخدم الوسائط القابلة للتمهيد عادة لتشغيل جهاز لا يحتوي على إصدار قابل للتمهيد من Windows وغالبا ما تستخدم الوسائط القابلة للتمهيد لتثبيت Windows على الجهاز.
تحدد إعدادات التمهيد الآمن ل UEFI مديري التمهيد الذين يجب الوثوق بهم باستخدام قاعدة بيانات التمهيد الآمن (قاعدة بيانات التوقيع) وDBX (قاعدة بيانات التوقيع المحظورة). يحتوي DB على تجزئات ومفاتيح للبرامج الموثوق بها، ومخازن DBX التي تم إبطالها واختراقها وغير الموثوق بها والمفاتيح لمنع تشغيل البرامج غير المصرح بها أو الضارة أثناء عملية التمهيد.
من المفيد التفكير في الحالات المختلفة التي يمكن أن يكون فيها الجهاز والوسائط القابلة للتمهيد التي يمكن استخدامها مع الجهاز في كل حالة من هذه الحالات. في جميع الحالات، يحدد البرنامج الثابت ما إذا كان يجب أن يثق في مدير التمهيد الذي يتم تقديمه معه، وبمجرد تشغيله مدير التمهيد، لم يعد DB وDBX تشاورا من قبل البرنامج الثابت. يمكن للوسائط القابلة للتمهيد إما استخدام مدير تمهيد موقع 2011 CA أو مدير تمهيد موقع 2023 CA ولكن ليس كليهما. يصف القسم التالي الحالات التي يمكن أن يكون فيها الجهاز، وفي بعض الحالات، الوسائط التي يمكن تمهيدها من الجهاز.
قد تساعد سيناريوهات الجهاز هذه عند وضع خطط لتوزيع عوامل التخفيف عبر أجهزتك.
أجهزة جديدة
بدأت بعض الأجهزة الجديدة في الشحن مع تثبيت كل من CAs 2011 و2023 مسبقا في البرنامج الثابت للجهاز. لم تقم جميع الشركات المصنعة بالتبديل للحصول على كليهما وقد لا تزال أجهزة الشحن مع 2011 CA المثبتة مسبقا فقط.
-
يمكن للأجهزة التي تحتوي على كل من CAs 2011 و2023 بدء الوسائط التي تتضمن إما مدير التمهيد الموقع 2011 CA أو مدير التمهيد الموقع 2023 CA.
-
يمكن للأجهزة التي تم تثبيت المرجع المصدق 2011 فقط تمهيد الوسائط باستخدام مدير التمهيد الموقع 2011 CA. تتضمن معظم الوسائط الأقدم مصحح التمهيد الموقع 2011 CA.
الأجهزة ذات التخفيف من المخاطر 1 و2
تم تثبيت هذه الأجهزة مسبقا مع CA 2011، ومن خلال تطبيق التخفيف 1، تم الآن تثبيت 2023 CA. نظرا لأن هذه الأجهزة تثق في كل من CAs، يمكن لهذه الأجهزة بدء تشغيل الوسائط مع CA 2011 ومدير التمهيد الموقع 2023.
الأجهزة ذات عوامل التخفيف 3 و4
تحتوي هذه الأجهزة على المرجع المصدق 2011 المضمن في DBX ولن تثق بعد الآن في الوسائط مع مدير تمهيد موقع من 2011 CA. سيبدأ الجهاز الذي يحتوي على هذا التكوين الوسائط فقط بمدير تمهيد موقع من 2023 CA.
إعادة تعيين التمهيد الآمن
إذا تمت إعادة تعيين إعدادات التمهيد الآمن إلى القيم الافتراضية، فقد لا تكون أي عوامل تخفيف تم تطبيقها على قاعدة البيانات (إضافة المرجع المصدق 2023) وDBX (عدم الثقة في 2011 CA) في مكانها. سيعتمد السلوك على ماهية الإعدادات الافتراضية للبرامج الثابتة.
DBX
إذا تم تطبيق التخفيفات 3 و/أو 4 وتم مسح DBX، فلن يكون المرجع المصدق 2011 في قائمة DBX وسيظل موثوقا به. إذا حدث ذلك، فسيكون من الضروري إعادة تطبيق عوامل التخفيف 3 و/أو 4.
الديسيبل
إذا احتوى DB على 2023 CA وتم إزالته عن طريق إعادة تعيين إعدادات التمهيد الآمن إلى الإعدادات الافتراضية، فقد لا يتم تمهيد النظام إذا كان الجهاز يعتمد على مدير التمهيد الموقع 2023 CA. إذا لم يتم تمهيد الجهاز، فاستخدم أداة securebootrecovery.efi الموضحة في KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932 لاسترداد النظام.
عدم الثقة PCA2011 رقم الإصدار الآمن وتطبيقه على DBX
-
التخفيف 3: تمكين الإبطال إلغاء الثقة في شهادة Microsoft Windows Production PCA 2011 عن طريق إضافتها إلى البرامج الثابتة Secure Boot DBX. سيؤدي هذا إلى عدم ثقة البرنامج الثابت في جميع مديري التمهيد الموقعين على CA 2011 وأي وسائط تعتمد على مدير التمهيد الموقع في 2011 CA.
-
التخفيف 4: تطبيق تحديث رقم الإصدار الآمن على البرنامج الثابت تطبيق تحديث رقم الإصدار الآمن (SVN) على البرامج الثابتة Secure Boot DBX. عند بدء تشغيل مدير تمهيد موقع من 2023، فإنه يقوم بإجراء فحص ذاتي عن طريق مقارنة SVN المخزنة في البرنامج الثابت مع SVN المضمن في مدير التمهيد. إذا كان SVN لمدير التمهيد أقل من SVN البرنامج الثابت، فلن يتم تشغيل مدير التمهيد. تمنع هذه الميزة المهاجم من التراجع عن مدير التمهيد إلى إصدار أقدم غير محدث. للحصول على تحديثات الأمان المستقبلية لمدير التمهيد، سيتم زيادة SVN، وستحتاج عملية التخفيف 4 إلى إعادة تطبيق.
هام يجب إكمال التخفيف 1 والتخفيف 2 قبل تطبيق التخفيف 3 والتخفيف 4.
للحصول على معلومات حول كيفية تطبيق التخفيف 3 والتخفيف من المخاطر 4 في خطوتين منفصلتين (إذا كنت تريد أن تكون أكثر حذرا، على الأقل في البداية) راجع KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932 أو يمكنك تطبيق كلا التخفيفين عن طريق تشغيل عملية مفتاح التسجيل الفردي التالية كمسؤول:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
يتطلب تطبيق كلا التخفيفين معا إعادة تشغيل واحدة فقط لإكمال العملية.
-
التخفيف 3: يمكنك التحقق من تطبيق قائمة الإبطال بنجاح من خلال البحث عن معرف الحدث: 1037 في سجل الأحداث، لكل KB5016061: أحداث تحديث متغير التمهيد الآمن وDBX.بدلا من ذلك، يمكنك تشغيل أمر PowerShell التالي كمسؤول والتأكد من إرجاع True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
التخفيف 4: أسلوب للتأكد من تطبيق إعداد SVN غير موجود بعد. سيتم تحديث هذا القسم عند توفر حل.
مراجع
KB5025885: كيفية إدارة إبطالات مدير تمهيد Windows لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932
KB5016061: أحداث تحديث متغير التمهيد الآمن DBX وDBX
KB5053484: تحديث وسائط Windows القابلة للتمهيد لاستخدام مدير التمهيد الموقع PCA2023
