Původní datum publikování: středa 13. února 2025
ID znalostní báze: 5053946
Úvod
Tento dokument popisuje nasazení ochrany proti veřejně zveřejněnému obejití funkce zabezpečení zabezpečeného spouštění, které používá bootkit BlackLotus UEFI sledované cve-2023-24932 pro podniková prostředí.
Aby se microsoft vyhnul přerušení, neplánuje tato omezení rizik nasazovat v podnicích, ale poskytuje tyto pokyny, které podnikům pomůžou tato zmírnění uplatnit samy. To dává podnikům kontrolu nad plánem nasazení a načasováním nasazení.
Začínáme
Nasazení jsme rozdělili do několika kroků, které je možné provést na časové ose, která funguje pro vaši organizaci. Měli byste se s těmito kroky seznámit. Jakmile budete mít o krocích dobrou představu, měli byste zvážit, jak budou fungovat ve vašem prostředí, a připravit plány nasazení, které budou fungovat pro váš podnik na časové ose.
Přidání nového certifikátu Windows UEFI CA 2023 a nedůvěryhodný certifikát Microsoft Windows Production PCA 2011 vyžaduje spolupráci firmwaru zařízení. Vzhledem k tomu, že existuje velká kombinace hardwaru a firmwaru zařízení a Microsoft nemůže otestovat všechny kombinace, doporučujeme, abyste před širším nasazením otestovali reprezentativní zařízení ve vašem prostředí. Doporučujeme otestovat alespoň jedno zařízení každého typu, které se používá ve vaší organizaci. Některé známé problémy se zařízeními, které tato zmírnění zablokují, jsou popsány v KB5025885 : Správa odvolání správce spouštění Systému Windows u změn zabezpečeného spouštění spojených s CVE-2023-24932. Pokud zjistíte problém s firmwarem zařízení, který není uvedený v části Známé problémy , vyřešte problém s dodavatelem výrobce OEM.
Vzhledem k tomu, že tento dokument odkazuje na několik různých certifikátů, jsou uvedeny v následující tabulce pro snadnou referenci a přehlednost:
|
Staré certifikační autority z roku 2011 |
Nové certifikační autority 2023 (platnost vyprší v roce 2038) |
Funkce |
|
Microsoft Corporation KEK CA 2011 (platnost vyprší v červenci 2026) |
Microsoft Corporation KEK CA 2023 |
Podepisuje aktualizace db a DBX. |
|
Microsoft Windows Production PCA 2011 (PCA2011) (platnost vyprší v říjnu 2026) |
Windows UEFI CA 2023 (PCA2023) |
Podepíše bootloader Windows |
|
Microsoft Corporation UEFI CA 2011 (platnost vyprší v červenci 2026) |
Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 |
Podepíše zavaděče třetích stran a opční romy |
Důležité Před testováním zařízení se zmírněním rizik nezapomeňte na testovací počítače použít nejnovější aktualizace zabezpečení.
Poznámka Během testování firmwaru zařízení můžete zjistit problémy, které brání správnému fungování aktualizací zabezpečeného spouštění. To může vyžadovat získání aktualizovaného firmwaru od výrobce OEM a aktualizaci firmwaru na ovlivněných zařízeních, aby se zmírnily problémy, které zjistíte.
Pro ochranu před útoky popsanými v cve-2023-24932 je potřeba použít čtyři zmírnění rizik:
-
Zmírnění rizik 1: Instalace aktualizované definice certifikátu (PCA2023) do databáze
-
Zmírnění rizik 2:Aktualizace správce spouštění na vašem zařízení
-
Zmírnění rizik 3:Povolení odvolání (PCA2011)
-
Zmírnění rizik 4:Použití aktualizace SVN na firmware
Tato čtyři zmírnění rizik je možné ručně použít u každého z testovacích zařízení podle pokynů popsaných v pokynech k nasazení zmírnění rizikKB5025885: Správa odvolání správce spouštění Systému Windows u změn zabezpečeného spouštění souvisejících s CVE-2023-24932 nebo podle pokynů v tomto dokumentu. Všechna čtyři zmírnění rizik spoléhají na správné fungování firmwaru.
Pochopení následujících rizik vám pomůže během procesu plánování.
Problémy s firmwarem:Každé zařízení má firmware od výrobce zařízení. Pro operace nasazení popsané v tomto dokumentu musí být firmware schopný přijímat a zpracovávat aktualizace databáze zabezpečeného spouštění (databáze podpisů) a DBX (Forbidden Signature Database). Kromě toho je firmware zodpovědný za ověření podpisových nebo spouštěcích aplikací, včetně správce spouštění systému Windows. Firmware zařízení je softwarový a stejně jako jakýkoli jiný software může mít vady, a proto je důležité tyto operace před nasazením otestovat.Microsoft průběžně testuje řadu kombinací zařízení a firmwaru, počínaje zařízeními v laboratořích a pobočkách Microsoftu a spolupracuje s OEM na testování svých zařízení. Téměř všechna testovaná zařízení prošla bez problémů. V několika případech jsme zaznamenali problémy s firmwarem, který nezpracovávají aktualizace správně, a pracujeme s OEMs na řešení problémů, o kterých víme.
Poznámka Pokud během testování zařízení zjistíte problém s firmwarem, doporučujeme problém vyřešit ve spolupráci s výrobcem zařízení nebo výrobcem OEM. V protokolu událostí vyhledejte ID události 1795 . Další podrobnosti o událostech zabezpečeného spouštění najdete v tématu KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX .
Nainstalovat médium:Pokud použijete omezení rizik 3 a Zmírnění rizik 4 popsané dále v tomto dokumentu, nebude možné spustit žádné existující instalační médium systému Windows, dokud médium nebude mít aktualizovaného správce spouštění. Zmírnění rizik popsaná v tomto dokumentu brání spuštění starých, ohrožených správců spouštění tím, že je ve firmwaru nedůvěřují. To brání útočníkovi vrátit správce spouštění systému na předchozí verzi a zneužít ohrožení zabezpečení, která existují ve starších verzích. Blokování těchto ohrožených správců spouštění by nemělo mít žádný vliv na spuštěný systém. Zabrání ale spuštění spouštěcího média, dokud nebudou správci spouštění na médiu aktualizováni. To zahrnuje image ISO, spouštěcí jednotky USB a spouštění ze sítě (spouštění PxE a HTTP).
Aktualizace na PCA2023 a nového správce spouštění
-
Zmírnění rizik 1: Instalace aktualizovaných definic certifikátů do databáze Přidá nový certifikát Windows UEFI CA 2023 do databáze podpisů zabezpečeného spouštění rozhraní UEFI. Po přidání tohoto certifikátu do databáze bude firmware zařízení důvěřovat spouštěcím aplikacím Microsoft Windows podepsaným tímto certifikátem.
-
Zmírnění rizik 2: Aktualizace správce spouštění na vašem zařízení Použije nový správce spouštění Windows podepsaný novým certifikátem certifikační autority UEFI systému Windows 2023.
Tato omezení rizik jsou důležitá pro dlouhodobou obsluhu Windows na těchto zařízeních. Vzhledem k tomu, že platnost certifikátu Microsoft Windows Production PCA 2011 ve firmwaru vyprší v říjnu 2026, musí mít zařízení nový certifikát Windows UEFI CA 2023 ve firmwaru před vypršením platnosti, jinak už nebude moct přijímat aktualizace Windows, takže je ve stavu ohrožení zabezpečení.
Informace o tom, jak použít zmírnění rizik 1 a Zmírnění rizik 2 ve dvou samostatných krocích (pokud chcete být opatrnější, alespoň na začátku), najdete v tématu KB5025885: Správa odvolání správce spouštění systému Windows u změn zabezpečeného spouštění souvisejících s CVE-2023-24932. Nebo můžete obě omezení rizik použít spuštěním následující operace s jedním klíčem registru jako správce:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Po zmírnění rizik se bity v klíči AvailableUpdates vymažou. Po nastavení na 0x140 a restartování se hodnota změní na 0x100 a po dalším restartování se změní na 0x000.
Zmírnění rizik správce spouštění se nepoužije, dokud firmware nenaznačí, že zmírnění rizik certifikátu 2023 bylo úspěšně použito. Tyto operace nelze provádět mimo pořadí.
Když se použijí obě omezení rizik, nastaví se klíč registru tak, aby značil, že systém podporuje verzi 2023, což znamená, že médium je možné aktualizovat a použít zmírnění 3 a Zmírnění rizik 4.
Ve většině případů dokončení zmírnění rizik 1 a Zmírnění rizik 2 vyžaduje alespoň dvě restartování, než se omezení rizik plně uplatní. Přidání dalších restartování ve vašem prostředí vám pomůže zajistit, aby se zmírnění rizik použilo dříve. Nemusí však být praktické uměle vkládat další restartování a může dávat smysl spoléhat se na měsíční restartování, ke kterým dochází v rámci instalace aktualizací zabezpečení. To znamená menší přerušení vašeho prostředí, ale riziko, že zabezpečení bude trvat déle.
Po nasazení zmírnění rizik 1 a zmírnění rizik 2 na vaše zařízení byste měli monitorovat svá zařízení, abyste se ujistili, že mají použitá zmírnění rizik a že jsou teď schopná používat verzi 2023. Monitorování je možné provést vyhledáním následujícího klíče registru v systému. Pokud klíč existuje a je nastavený na hodnotu 1, pak systém přidal certifikát 2023 do proměnné databáze zabezpečeného spouštění. Pokud klíč existuje a je nastavený na hodnotu 2, pak má systém v databázi certifikát 2023 a začíná správcem spouštění podepsaným v roce 2023.
|
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Název hodnoty klíče |
WindowsUEFICA2023Capable |
|
|
Datový typ |
REG_DWORD |
|
|
Data |
0 – nebo klíč neexistuje – Certifikát "Windows UEFI CA 2023" není v databázi 1 – Certifikát "Windows UEFI CA 2023" je v databázi. 2 – Certifikát "Windows UEFI CA 2023" je v databázi a systém začíná od podepsaného správce spouštění 2023. |
|
Aktualizace spouštěcího média
Po použití zmírnění rizik 1 a zmírnění rizik 2 na vaše zařízení můžete aktualizovat všechna spouštěcí média, která používáte ve svém prostředí. Aktualizace spouštěcího média znamená použití správce spouštění podepsaného PCA2023 na médium. To zahrnuje aktualizaci spouštěcích imagí sítě (například PxE a HTTP), imagí ISO a jednotek USB. Jinak se zařízení s použitým zmírněním rizik nespustí ze spouštěcího média, které používá staršího správce spouštění windows a certifikační autoritu 2011.
Nástroje a pokyny k aktualizaci jednotlivých typů spouštěcích médií jsou k dispozici tady:
|
Typ média |
Zdroj |
|
ISO, USB disky atd. |
KB5053484: Aktualizace spouštěcího média Windows pro použití správce spouštění podepsaného PCA2023 |
|
Spouštěcí server PXE |
Dokumentace, která se má poskytnout později |
Během procesu aktualizace médií byste měli média otestovat na zařízení, které má všechna čtyři omezení rizik. Poslední dvě zmírnění rizik zablokují starší a zranitelné správce spouštění. Důležitou součástí tohoto procesu je mít média s aktuálními správci spouštění.
Poznámka Vzhledem k tomu, že návratové útoky na správce spouštění jsou realitou a očekáváme průběžné aktualizace správce spouštění systému Windows, které řeší problémy se zabezpečením, doporučujeme, aby podniky plánovaly na pravidelné aktualizace médií a zavedly procesy, které zajistí, aby aktualizace médií byly snadné a méně časově náročné. Naším cílem je omezit počet aktualizací správce spouštění médií na maximálně dvakrát za rok, pokud je to možné.
Spouštěcí médium nezahrnuje systémovou jednotku zařízení, kde se obvykle nachází systém Windows a spouští se automaticky. Spouštěcí médium se běžně používá ke spuštění zařízení, které nemá spouštěcí verzi Windows, a spouštěcí médium se často používá k instalaci Windows na zařízení.
Nastavení zabezpečeného spouštění rozhraní UEFI určuje, kterým správcům spouštění se má důvěřovat pomocí databáze zabezpečeného spouštění (databáze podpisů) a DBX (Databáze zakázaných podpisů). Databáze obsahuje hodnoty hash a klíče pro důvěryhodný software a dbX ukládá odvolané, ohrožené a nedůvěryhodné hodnoty hash a klíče, aby se zabránilo spuštění neoprávněného nebo škodlivého softwaru během procesu spouštění.
Je užitečné přemýšlet o různých stavech, ve které může být zařízení, a o tom, jaká spouštěcí média lze se zařízením v každém z těchto stavů použít. Ve všech případech firmware určuje, jestli by měl důvěřovat správci spouštění, se kterým je předváděný, a jakmile spustí správce spouštění, nebudou už databáze a DBX zkonzultovány firmwarem. Spouštěcí médium může používat správce spouštění podepsaný certifikační autoritou 2011 nebo správce spouštění podepsaný certifikační autoritou 2023, ale ne obojí. Další část popisuje, v jakých stavech může být zařízení, a v některých případech je možné ze zařízení spustit média.
Tyto scénáře zařízení můžou pomoct při plánování nasazení zmírnění rizik na vaše zařízení.
Nová zařízení
Některá nová zařízení se začala dodávat s předinstalovanými certifikačními autoritami 2011 i 2023 ve firmwaru zařízení. Ne všichni výrobci přešli na to, aby měli obě zařízení a stále můžou být expediční zařízení s předinstalovanou pouze certifikační autoritou 2011.
-
Zařízení s certifikační autoritou 2011 i 2023 můžou spouštět média, která zahrnují správce spouštění podepsaný certifikační autoritou 2011 nebo správce spouštění podepsaný certifikační autoritou 2023.
-
Zařízení s nainstalovanou pouze certifikační autoritou 2011 mohou spouštět média pouze pomocí správce spouštění podepsaného certifikační autoritou 2011. Většina starších médií zahrnuje spouštěcí program podepsaný certifikační autoritou z roku 2011.
Zařízení s omezeními rizik 1 a 2
Tato zařízení byla předinstalovaná s certifikační autoritou 2011 a po použití zmírnění rizik 1 teď mají nainstalovanou certifikační autoritu z roku 2023. Vzhledem k tomu, že tato zařízení důvěřují oběma certifikačním autoritám, můžou tato zařízení spustit média s certifikační autoritou 2011 i s podepsaným správcem spouštění 2023.
Zařízení se zmírněními rizik 3 a 4
Tato zařízení mají certifikační autoritu 2011, která je součástí DBX, a už nebudou důvěřovat médiím se správcem spouštění podepsaným certifikační autoritou 2011. Zařízení s touto konfigurací spustí média pouze se správcem spouštění podepsaným certifikační autoritou 2023.
Resetování zabezpečeného spouštění
Pokud se nastavení zabezpečeného spouštění resetovalo na výchozí hodnoty, všechna omezení rizik použitá pro databázi (přidání certifikační autority 2023) a DBX (nedůvěryhodná certifikační autorita 2011) už nemusí být v platnosti. Chování bude záviset na výchozích nastaveních firmwaru.
DBX
Pokud byla použita omezení rizik 3 nebo 4 a databáze DBX je vymazána, certifikační autorita 2011 nebude v seznamu DBX a bude stále důvěryhodná. Pokud k tomu dojde, bude nutné znovu použít zmírnění rizik 3 nebo 4.
DB
Pokud databáze obsahovala certifikační autoritu 2023 a odebere se resetováním nastavení zabezpečeného spouštění na výchozí hodnoty, systém se nemusí spustit, pokud zařízení spoléhá na správce spouštění podepsaného certifikační autoritou 2023. Pokud se zařízení nespustí, obnovte systém pomocí nástroje securebootrecovery.efi popsaného v KB5025885: Správa odvolání správce spouštění systému Windows u změn zabezpečeného spouštění spojených s CVE-2023-24932 .
Nedůvěryhodná PCA2011 a použití zabezpečeného čísla verze pro DBX
-
Zmírnění rizik 3: Povolení odvolání Zruší důvěryhodnost certifikátu Microsoft Windows Production PCA 2011 tím, že ho přidá do firmwaru DBX zabezpečeného spouštění. To způsobí, že firmware nebude důvěřovat všem správcům spouštění podepsaným certifikační autoritou 2011 a médiím, která se spoléhají na správce spouštění podepsaného certifikační autoritou 2011.
-
Zmírnění 4: Použití aktualizace čísla zabezpečené verze na firmware Použije aktualizaci secure version number (SVN) na firmware zabezpečené spouštění DBX. Když se spustí správce spouštění podepsaný 2023, provede vlastní kontrolu porovnáním SVN uloženého ve firmwaru s SVN integrovaným do správce spouštění. Pokud je SVN správce spouštění nižší než SVN firmwaru, správce spouštění se nespustí. Tato funkce brání útočníkovi v vrácení správce spouštění zpět na starší, neaktualizovala se verze. V případě budoucích aktualizací zabezpečení správce spouštění se SVN zvýší a bude nutné znovu použít zmírnění rizik 4.
Důležité Zmírnění rizik 1 a Zmírnění rizik 2 musí být dokončeno před použitím zmírnění rizik 3 a Zmírnění rizik 4.
Informace o tom, jak použít zmírnění rizik 3 a Zmírnění rizik 4 ve dvou samostatných krocích (pokud chcete být opatrnější, alespoň nejprve), najdete v tématu KB5025885: Jak spravovat odvolání správce spouštění systému Windows u změn zabezpečeného spouštění souvisejících s CVE-2023-24932 Nebo můžete obě zmírnění rizik použít spuštěním následující operace s jedním klíčem registru jako správce:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Použití obou zmírnění rizik současně bude vyžadovat pouze jedno restartování k dokončení operace.
-
Zmírnění rizik 3: Seznam odvolání můžete ověřit tak, že v protokolu událostí vyhledáte ID události 1037 podle KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX.Případně můžete jako správce spustit následující příkaz PowerShellu a ujistit se, že vrátí hodnotu True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Zmírnění rizik 4: Metoda, která potvrdí, že se nastavení SVN použilo, ještě neexistuje. Tato část se aktualizuje, jakmile bude k dispozici řešení.
Reference
KB5016061: Události aktualizace databáze zabezpečeného spouštění a proměnné DBX
KB5053484: Aktualizace spouštěcího média Windows pro použití správce spouštění podepsaného PCA2023
