المقدمة
تم جعل Microsoft على علم بثغرة أمنية مع مدير تمهيد Windows يسمح للمهاجم بتجاوز التمهيد الآمن. تم إصلاح المشكلة في مدير التمهيد وإصدارها كتحديث أمان. الثغرة الأمنية المتبقية هي أن المهاجم الذي لديه امتيازات إدارية أو وصول فعلي إلى الجهاز يمكنه التراجع عن مدير التمهيد إلى إصدار دون إصلاح الأمان. يتم استخدام هذه الثغرة الأمنية للتراجع من قبل البرامج الضارة BlackLotus لتجاوز التمهيد الآمن الموضح بواسطة CVE-2023-24932. لحل هذه المشكلة، سنقوم بإبطال مديري التمهيد المعرضين للخطر.
نظرا للعدد الكبير من مديري التمهيد التي يجب حظرها، نستخدم طريقة بديلة لحظر مديري التمهيد. يؤثر هذا على أنظمة التشغيل غير التابعة ل Windows من حيث أنه يجب توفير إصلاح على هذه الأنظمة لمنع استخدام مديري تمهيد Windows كمتجه هجوم على أنظمة تشغيل غير Windows.
مزيد من المعلومات
إحدى طرق منع ثنائيات تطبيق EFI الضعيفة من التحميل بواسطة البرنامج الثابت هي إضافة تجزئات التطبيقات الضعيفة إلى قائمة UEFI المحظورة (DBX). يتم تخزين قائمة DBX في الأجهزة الفلاش المدار بواسطة البرامج الثابتة. تقييد أسلوب الحظر هذا هو ذاكرة فلاش البرنامج الثابت المحدودة المتوفرة لتخزين DBX. بسبب هذا القيد والعدد الكبير من مديري التمهيد الذين يجب حظرهم (مديرو تمهيد Windows من السنوات العشر الماضية)، لا يمكن الاعتماد بالكامل على DBX لهذه المشكلة.
بالنسبة لهذه المشكلة، اخترنا طريقة مختلطة لحظر مديري التمهيد المعرضين للخطر. ستتم إضافة عدد قليل فقط من مديري التمهيد الذين تم إصدارهم في الإصدارات السابقة من Windows إلى DBX. بالنسبة Windows 10 والإصدارات الأحدث، سيتم استخدام نهج التحكم في تطبيق Windows Defender (WDAC) الذي يحظر مديري تمهيد Windows المعرضين للخطر. عند تطبيق النهج على نظام Windows، سيقوم مدير التمهيد "بتأمين" النهج للنظام عن طريق إضافة متغير إلى البرنامج الثابت UEFI. سيحترم مديرو تمهيد Windows النهج وتأمين UEFI. إذا كان تأمين UEFI في مكانه وتمت إزالة النهج، فلن يبدأ تشغيل مدير تمهيد Windows. إذا كان النهج في مكانه، فلن يبدأ مدير التمهيد إذا تم حظره بواسطة النهج.
إرشادات لحظر مديري تمهيد Windows المعرضين للخطر
ملاحظه يجب منح المستخدمين خيار تطبيق المتغير حتى يتمكنوا من التحكم في وقت حمايتهم.
سيؤدي تمكين تأمين UEFI إلى إيقاف تشغيل وسائط Windows القابلة للتمهيد حتى يتم تحديث الوسائط بتحديثات Windows التي تم إصدارها في 9 مايو 2023 أو بعد ذلك. يمكن العثور على إرشادات لتحديث الوسائط في KB5025885: كيفية إدارة إبطالات Windows Boot Manager لتغييرات التمهيد الآمن المقترنة ب CVE-2023-24932.
-
بالنسبة للأنظمة الممكنة للتمهيد الآمن التي تقوم فقط بتمهيد أنظمة
تشغيل غير Windows بالنسبة للأنظمة التي تبدأ فقط أنظمة تشغيل غير Windows ولن تبدأ تشغيل Windows أبدا، يمكن تطبيق عمليات التخفيف هذه على النظام على الفور. -
للأنظمة التي تعمل بنظام التشغيل Windows ونظام تشغيل
آخر بالنسبة للأنظمة التي تبدأ تشغيل Windows، يجب تطبيق عمليات التخفيف غير المتعلقة ب Windows فقط بعد تحديث نظام التشغيل Windows إلى تحديثات Windows التي تم إصدارها في 9 مايو 2023 أو بعد ذلك.
إنشاء تأمين UEFI
يحتوي UEFI Lock على متغيرين مطلوبين لمنع هجمات التراجع في مدير تمهيد Windows. هذه المتغيرات هي كما يلي:
-
سمات SKU SiPolicy
يحتوي هذا النهج على السمات التالية:
-
معرف نوع النهج:
{976d12c8-cb9f-4730-be52-54600843238e}
-
اسم ملف محدد ل "SkuSiPolicy.p7b"
-
موقع فعلي محدد ل EFI\Microsoft\Boot
مثل جميع نهج WDAC الموقعة، تتم حماية نهج SKU الموقع بواسطة متغيرين UEFI:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
متغيرات
SKU SiPolicy يستخدم هذا النهج متغيرين UEFI مخزنين ضمن مساحة اسم EFI/المورد
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd، 0x0359، 0x4d32، \
{0xbd، 0x60، 0x28، 0xf4، 0xe7، 0x8f، 0x78، 0x4b}}؛
-
SkuSiPolicyVersion
-
من نوع ULONGLONG/UInt64 في وقت التشغيل
-
يتم تعريفه بواسطة <VersionEx>2.0.0.2</VersionEx> داخل XML للنهج في شكل (MAJOR. طفيفه. مراجعه. BUILDNUMBER)
-
تتم ترجمته إلى ULONGLONG ك
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)
يحتوي كل رقم إصدار على 16 بت، لذلك يحتوي على إجمالي 64 بت.
-
يجب أن يكون إصدار النهج الأحدث مساويا أو أكبر من الإصدار المخزن في متغير UEFI في وقت التشغيل.
-
الوصف: تعيين هو إصدار نهج تمهيد تكامل التعليمات البرمجية.
-
سمات:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
معرف Guid لمساحة الاسم:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
نوع البيانات:
uint8_t[8]
-
البيانات:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
يجب أن يكون الموقع على Windows.
-
الوصف: معلومات الموقع على النهج.
-
سمات:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
معرف Guid لمساحة الاسم:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
نوع البيانات:
uint8_t[131]
-
البيانات:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01، 0x00، 0x00، 0x00، 0x06، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x01، 0x00، 0x00، 0x00،
0x0b، 0x00، 0x00، 0x00، 0xd0، 0x91، 0x73، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x02، 0x00،
0x00، 0x00، 0x00، 0x00، 0x54، 0xa6، 0x78، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x02، 0x00،
0x00، 0x00، 0x00، 0x00، 0x5c، 0xa6، 0x78، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x02، 0x00،
0x00، 0x00، 0x00، 0x00، 0x64، 0xa6، 0x78، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00، 0x00،
0x00، 0x00، 0x00، 0x00، 0x0a، 0x2b، 0x06، 0x01،
0x04، 0x01، 0x82، 0x37، 0x0a، 0x03، 0x06، 0x00،
0x00، 0x00، 0x00}؛
-
-
تطبيق DBX
لقد أصدرنا ملف DbxUpdate.bin لهذه المشكلة على UEFI.org. تتضمن هذه التجزئات جميع مديري تمهيد Windows الذين تم إبطالهم الذين تم إصدارهم بين Windows 8 والإصدار الأولي من Windows 10 التي لا تحترم نهج تكامل التعليمات البرمجية.
من الأهمية القصوى أن يتم تطبيقها بعناية بسبب خطر أنها قد تكسر نظام التمهيد المزدوج الذي يستخدم أنظمة تشغيل متعددة وأحد مديري التمهيد هؤلاء. على المدى القصير، نوصي بتطبيق هذه التجزئات اختياريا لأي نظام.
