Първоначална дата на публикуване: 13 февруари 2025 г.
ИД на КБ: 5053946
Въведение
Този документ описва разполагането на защити срещу публично оповестената функция за защита на защитеното стартиране заобикаляне, което използва bootkit BlackLotus UEFI, проследяван от CVE-2023-24932 за корпоративни среди.
За да се избегнат смущения, Microsoft не планира да разположи тези смекчавания в предприятията, но предоставя тези указания, за да помогне на предприятията сами да приложат смекчаващите мерки. Това дава на предприятията контрол върху плана за разполагане и времето на разполаганията.
Първи стъпки
Разделихме разполагането на няколко стъпки, които могат да бъдат постигнати на времева линия, която работи за вашата организация. Трябва да се запознаете с тези стъпки. След като сте запознати добре със стъпките, трябва да обмислите как те ще работят във вашата среда и да подготвите планове за разполагане, които работят за вашето предприятие, на времевата линия.
Добавянето на новия сертификат на Windows UEFI CA 2023 и ненадеждното използване на сертификата Microsoft Windows Production PCA 2011 изисква сътрудничество от фърмуера на устройството. Тъй като има голяма комбинация от хардуер и фърмуер на устройството и Microsoft не може да тества всички комбинации, ви препоръчваме да тествате представителните устройства във вашата среда, преди да ги разположите в общи линии. Препоръчваме ви да тествате поне едно устройство от всеки тип, което се използва във вашата организация. Някои известни проблеми с устройството, които ще блокират тези смекчавания, са документирани като част от KB5025885: Как да управлявате анулиранията на диспечера за зареждане на Windows за промени в защитеното стартиране, свързани с CVE-2023-24932. Ако откриете проблем с фърмуера на устройството, който не е посочен в раздела Известни проблеми , работете с вашия доставчик на OEM, за да решите проблема.
Тъй като този документ препраща към няколко различни сертификата, те са представени в следващата таблица за лесна справка и яснота:
|
Стари 2011 Г. |
Нови ОО за 2023 г. (изтича след 2038 г.) |
Функция |
|
Microsoft Corporation KEK CA 2011 (изтича на юли 2026 г.) |
Microsoft Corporation KEK CA 2023 |
Подписва актуализации на DB и DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (изтича през октомври 2026 г.) |
Windows UEFI CA 2023 (PCA2023) |
Подписва стартирането на Windows |
|
Microsoft Corporation UEFI CA 2011 (изтича през юли 2026 г.) |
Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023 |
Подписва bootloaders и ROM за опции от други разработчици |
Важно Не забравяйте да приложите най-новите актуализации на защитата за тестовите машини, преди да тествате устройства с предпазни мерки.
Забележка По време на тестването на фърмуера на устройството може да откриете проблеми, които пречат на актуализациите на защитеното стартиране да работят правилно. Това може да изисква получаване на актуализиран фърмуер от производителя (OEM) и актуализиране на фърмуера на засегнатите устройства, за да се смекчат проблемите, които откривате.
Има четири предпазни мерки, които трябва да бъдат приложени, за да се защитите срещу атаките, описани в CVE-2023-24932:
-
Смекчаване 1: Инсталиране на дефиницията на актуализирания сертификат (PCA2023) в базата данни
-
Смекчаване 2:Актуализиране на диспечера за зареждане на вашето устройство
-
Смекчаване 3:Разрешаване на анулирането (PCA2011)
-
Смекчаване 4:Прилагане на SVN актуализацията към фърмуера
Тези четири смекчавания могат да бъдат приложени ръчно за всяко от тестовите устройства, като се следват указанията, описани в указанията за разполагане на смекчаване на KB5025885: Как да управлявате анулиранията на диспечера за зареждане на Windows за промени на защитеното стартиране, свързани с CVE-2023-24932, или като следвате указанията в този документ. И четирите смекчавания разчитат на фърмуера, за да работят правилно.
Разбирането на следните рискове ще ви помогне по време на процеса на планиране.
Проблеми с фърмуера:Всяко устройство има фърмуер, предоставен от производителя на устройството. За операциите по разполагане, описани в този документ, фърмуерът трябва да може да приема и обработва актуализации на базата данни за защитено стартиране (база данни за подписи) и DBX (база данни с забранени подписи). Освен това фърмуерът е отговорен за проверка на приложенията за подпис или стартиране, включително диспечера за зареждане на Windows. Фърмуерът на устройството е софтуер и, както всеки софтуер, може да има дефекти, поради което е важно да тествате тези операции, преди да ги разположите широко.Microsoft непрекъснато тества много комбинации от устройства/фърмуер, започвайки с устройствата в лабораториите и офисите на Microsoft, а Microsoft работи с OEM, за да тества техните устройства. Почти всички тествани устройства преминаха без проблем. В някои случаи сме виждали проблеми с фърмуера, който не обработва правилно актуализациите, и работим с OEM, за да се справим с проблемите, за които сме наясно.
Забележка По време на тестването на устройството, ако откриете проблем с фърмуера, ви препоръчваме да работите с производителя на вашето устройство/OEM, за да отстраните проблема. Потърсете ИД на събитие 1795 в регистъра на събитията. Вижте KB5016061: Събития за актуализиране на DB и DBX променливи за защитено стартиране за повече подробности относно събитията на защитеното стартиране.
Инсталиране на мултимедия:Чрез прилагане на Смекчаване 3 и Смекчаване 4, описано по-нататък в този документ, всеки съществуващ носител за инсталиране на Windows вече няма да бъде стартиращ, докато носителят не разполага с актуализиран диспечер за зареждане. Предпазните мерки, описани в този документ, предотвратяват изпълнението на стари, уязвими диспечери за стартиране, като ги ненадеждно във фърмуера. Това предотвратява връщането на диспечера за стартиране на системата към предишна версия и използването на уязвимости, налични в по-стари версии. Блокирането на тези уязвими диспечери за стартиране не трябва да оказва влияние върху изпълняващата се система. Това обаче ще попречи на стартирането на всеки стартов носител, докато диспечерите за стартиране на мултимедията не се актуализират. Това включва ISO изображения, стартиращи USB устройства и мрежово стартиране (PxE и HTTP стартиране).
Актуализиране до PCA2023 и новия диспечер за зареждане
-
Смекчаване 1: Инсталирайте актуализираните дефиниции на сертификата на базата данни Добавя новия сертификат на Windows UEFI CA 2023 към базата данни за подписи за защитено стартиране (DB) на UEFI. Като добавите този сертификат към базата данни, фърмуерът на устройството ще се довери на приложенията за стартиране на Microsoft Windows, подписани от този сертификат.
-
Смекчаване 2: Актуализиране на диспечера за зареждане на вашето устройство Прилага новия диспечер за зареждане на Windows, подписан с новия сертификат на Windows UEFI CA 2023.
Тези смекчавания са важни за дългосрочната работа на Windows на тези устройства. Тъй като срокът на сертификата на Microsoft Windows Production PCA 2011 във фърмуера ще изтече през октомври 2026 г., устройствата трябва да имат новия сертификат за Windows UEFI CA 2023 във фърмуера преди изтичане на срока или устройството вече няма да може да получава актуализации на Windows, което го поставя в уязвимо състояние на защита.
За информация как да приложите смекчаване 1 и смекчаване 2 в две отделни стъпки (ако искате да бъдете по-внимателни, поне веднъж) вижте KB5025885: Как да управлявате анулирания на диспечера за стартиране на Windows за промени в защитеното стартиране, свързани с CVE-2023-24932. Или можете да приложите и двете смекчавания, като изпълните следната единична операция за ключ от системния регистър като администратор:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
С прилагането на предпазните мерки битовете в ключа AvailableUpdates ще бъдат изчистени. След като я зададете на 0x140 и рестартирате, стойността ще се промени на 0x100 и след друго рестартиране ще се промени на 0x000.
Смекчаването на диспечера за зареждане няма да бъде приложено, докато фърмуерът не покаже, че смекчаването на сертификата 2023 е приложено успешно. Тези операции не могат да бъдат изпълнени нередно.
Когато се приложат и двете смекчавания, ще бъде зададен ключ от системния регистър, който да указва, че системата е способна на "2023", което означава, че мултимедията може да бъде актуализирана и може да се приложи Смекчаване 3 и Смекчаване 4.
В повечето случаи завършването на смекчаването 1 и смекчаването 2 изисква поне две рестартирания, преди смекчаванията да се приложат напълно. Добавянето на допълнителни рестартирания във вашата среда ще гарантира, че смекчаванията ще се приложат по-рано. Въпреки това може да не е практически да инжектирате изкуствено допълнителни рестартирания и може да има смисъл да разчитате на месечните рестартирания, които се появяват като част от прилагането на актуализациите на защитата. Това означава по-малко прекъсване на вашата среда, но има риск да отнеме повече време, за да бъде защитена.
След разполагането на Смекчаване 1 и Смекчаване 2 на вашите устройства, трябва да наблюдавате вашите устройства, за да се уверите, че са приложени предпазни мерки и сега са "способни на 2023". Наблюдението може да се извърши чрез търсене на следния ключ от системния регистър в системата. Ако ключът съществува и е настроен на 1, системата е добавила сертификата 2023 към променливата на базата данни за защитено стартиране. Ако ключът съществува и е настроен на 2, системата има сертификат 2023 в базата данни и започва с диспечера за зареждане, подписан от 2023.
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Име на стойност на ключ |
WindowsUEFICA2023Capable |
|
|
Тип данни |
REG_DWORD |
|
|
Данни |
0 – или ключът не съществува – сертификатът "Windows UEFI CA 2023" не е в базата данни 1 – Сертификатът "Windows UEFI CA 2023" е в базата данни 2 – Сертификатът "Windows UEFI CA 2023" е в базата данни и системата започва от диспечера за зареждане, подписан от 2023. |
|
Актуализиране на стартов носител
След Смекчаване 1 и Смекчаване 2 се прилагат към вашите устройства, можете да актуализирате всеки стартов носител, който използвате във вашата среда. Актуализирането на стартов носител означава прилагане на диспечера за зареждане, подписан от PCA2023, към мултимедията. Това включва актуализиране на изображенията за стартиране на мрежата (като например PxE и HTTP), ISO изображения и USB устройства. В противен случай устройствата с приложени смекчавания няма да стартират от носител за зареждане, който използва по-стария диспечер за зареждане на Windows и 2011 CA.
Инструменти и указания как да актуализирате всеки тип стартов носител, са налични тук:
|
Тип мултимедия |
Ресурс |
|
ISO, USB устройства и т.н. |
|
|
Сървър за зареждане на PXE |
Документация, която трябва да бъде предоставена по-късно |
По време на процеса на актуализиране на мултимедията трябва да сте сигурни, за да тествате носителя с устройство, което има всичките четири смекчавания на последствията. Последните две смекчавания ще блокират по-стари, уязвими диспечери за стартиране. Наличието на мултимедия с текущи диспечери за стартиране е важна част от завършването на този процес.
Забележка Тъй като атаките за анулиране на промените в диспечера за зареждане са реалност и очакваме текущите актуализации на диспечера за зареждане на Windows да адресират проблеми със защитата, препоръчваме на предприятията да планират полуредови мултимедийни актуализации и да разполагат с процеси, с които да направят актуализациите на мултимедията лесни и по-малко времеемки. Нашата цел е да ограничим броя на обновявания на диспечера за зареждане на мултимедия до най-много два пъти годишно, ако е възможно.
Стартов носител не включва системния диск на устройството, където Windows обикновено се намира и стартира от автоматично. Стартов носител често се използва за стартиране на устройство, което няма стартираща версия на Windows, и стартов носител често се използва за инсталиране на Windows на устройството.
Настройките за защитено стартиране на UEFI определят на кои диспечери за стартиране да се доверяват с помощта на базата данни за защитено стартиране (база данни за подписи) и DBX (база данни за забранени подписи). Базата данни съдържа хешовете и ключовете за надежден софтуер, а магазините на DBX са анулирани, компрометирани и ненадеждни хешове и ключове, за да се предотврати изпълнението на неупълномощен или злонамерен софтуер по време на процеса на зареждане.
Полезно е да се мисли за различните състояния, в които едно устройство може да бъде и какъв стартов носител може да се използва с устройството във всяко от тези състояния. Във всички случаи фърмуерът определя дали трябва да се довери на диспечера за зареждане, с който е представен, и след като стартира диспечера за зареждане, DB и DBX вече не се консултират с фърмуера. Стартов носител може да използва диспечер за стартиране, подписан от CA 2011, или диспечер за стартиране, подписан от CA 2023, но не и двете. Следващият раздел описва какво гласи, че устройството може да бъде в, а в някои случаи и какъв носител може да бъде стартиран от устройството.
Тези сценарии за устройства може да ви помогнат, когато правите планове за разполагане на смекчаванията на последствията на всички ваши устройства.
Нови устройства
Някои нови устройства започнаха да се доставят с предварително инсталиран фърмуер на устройството както с 2011, така и с 2023 CAs. Не всички производители са преминали, за да имат и двете, и все още може да изпращат устройства само с предварително инсталиран CA за 2011 г.
-
Устройства с 2011 и 2023 CAs могат да стартират мултимедия, която включва диспечера за стартиране, подписан от CA през 2011 г., или диспечера за стартиране, подписан от 2023 CA.
-
Устройства, на които е инсталиран само 2011 CA, могат да стартират мултимедия само с диспечера за зареждане, подписан от 2011 CA. Повечето по-стари мултимедийни файлове включват manger за стартиране, подписан от CA за 2011 г.
Устройства с предпазни мерки 1 и 2
Тези устройства са предварително инсталирани с 2011 CA и чрез прилагане на Смекчаване 1 сега са инсталирани 2023 CA. Тъй като тези устройства имат доверие и на двете CAs, тези устройства могат да стартират както мултимедията с 2011 CA, така и диспечера за зареждане, подписан с 2023.
Устройства с предпазни мерки 3 и 4
Тези устройства имат 2011 CA, включен в DBX и вече няма да се доверяват на мултимедия с диспечер за зареждане, подписан от CA 2011. Устройство с тази конфигурация ще стартира мултимедия само с диспечер за зареждане, подписан с 2023 CA.
Нулиране на защитеното стартиране
Ако настройките на защитеното стартиране са върнати към стойностите по подразбиране, е възможно всички смекчавания, които са били приложени към базата данни (добавяне на 2023 CA) и DBX (ненадеждно СО през 2011 г.), вече да не са въведени. Поведението ще зависи от това какви са настройките по подразбиране на фърмуера.
DBX
Ако са приложени предпазни мерки 3 и/или 4 и DBX е изчистено, то 2011 CA няма да бъде в списъка DBX и все още ще бъде надежден. Ако това се случи, ще се наложи повторно прилагане на предпазни мерки 3 и/или 4.
База данни
Ако базата данни съдържа CA 2023 и е премахната чрез нулиране на настройките на защитеното стартиране до настройките по подразбиране, системата може да не се стартира, ако устройството разчита на диспечера за зареждане, подписан от CA 2023. Ако устройството не се стартира, използвайте инструмента securebootrecovery.efi, описан в KB5025885: Как да управлявате анулиранията на диспечера за зареждане на Windows за промени на защитеното стартиране, свързани с CVE-2023-24932 , за да възстановите системата.
Ненадеждно PCA2011 и прилагане на номер на защитена версия към DBX
-
Смекчаване 3: Разрешаване на анулирането Ненадеждно microsoft Windows Production PCA 2011 сертификат чрез добавянето му към фърмуера Защитено стартиране DBX. Това ще накара фърмуера да не се доверява на всички диспечери за стартиране, подписани от CA 2011, както и на всички носители, които разчитат на диспечера за зареждане, подписан от CA 2011.
-
Смекчаване 4: Приложете актуализацията на защитения номер на версия към фърмуера Прилага актуализацията на номер на защитена версия (SVN) към фърмуера защитено стартиране DBX. Когато стартира стартиращ диспечер за стартиране, подписан с 2023, той извършва само проверка чрез сравняване на SVN, съхранен във фърмуера, с SVN, вграден в диспечера за зареждане. Ако диспечерът за зареждане SVN е по-нисък от SVN на фърмуера, диспечерът за зареждане няма да се изпълнява. Тази функция не позволява на атакуващ да върне диспечера за зареждане към по-стара, не актуализирана версия. За бъдещи актуализации на защитата на диспечера за зареждане SVN ще бъде увеличен и Ще трябва да се приложи отново Mitigation 4.
Важно Смекчаване 1 и смекчаване 2 трябва да бъде завършен преди прилагането на смекчаване 3 и смекчаване 4.
За информация как да приложите смекчаване 3 и смекчаване 4 в две отделни стъпки (ако искате да бъдете по-внимателни, поне веднъж) вижте KB5025885: Как да управлявате анулирания на диспечера за стартиране на Windows за промени в защитеното стартиране, свързани с CVE-2023-24932 Или можете да приложите двете смекчавания чрез изпълнение на следната единична операция с ключ от системния регистър като администратор:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Прилагането на двете смекчавания заедно ще изисква само едно рестартиране, за да завършите операцията.
-
Смекчаване 3: Можете да проверите дали списъкът на анулираните е приложен успешно, като потърсите ИД на събитие: 1037 в регистъра на събитията, за KB5016061: събития за актуализиране на DB и DBX променливи.Като алтернатива можете да изпълните следната команда на PowerShell като администратор и да се уверите, че връща True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Смекчаване 4: Метод за потвърждение, че настройката за SVN все още не съществува. Този раздел ще бъде актуализиран, когато има налично решение.
Справочни материали
KB5016061: Събития за актуализиране на DB и DBX променливи на защитено стартиране
