Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Introduktion

Microsoft blev gjort opmærksom på en sårbarhed med Windows Boot Manager, der gør det muligt for en hacker at omgå Sikker bootstart. Problemet i Boot Manager blev rettet og udgivet som en sikkerhedsopdatering. Den resterende sårbarhed er, at en hacker med administrative rettigheder eller fysisk adgang til enheden kan annullere bootstyringen til en version uden sikkerhedsrettelse. Denne annulleringssårbarhed bruges af BlackLotus-malware til at omgå Sikker bootstart beskrevet af CVE-2023-24932. For at løse dette problem tilbagekalder vi de sårbare bootadministratorer.

På grund af det store antal bootadministratorer, der skal blokeres, bruger vi en alternativ måde at blokere bootadministratorerne på. Dette påvirker ikke-Windows-operativsystemer, idet der skal leveres en rettelse på disse systemer for at blokere Windows-startadministratorer fra at blive brugt som angrebsvektor på ikke-Windows-operativsystemer.

Flere oplysninger

En metode til at blokere sårbare EFI-program binære fra at blive indlæst af firmwaren er at tilføje hashes af de sårbare programmer til UEFI Forbudt Liste (DBX). DBX-listen gemmes i enhedernes firmwareadministrerede flash. Begrænsningen for denne blokeringsmetode er den begrænsede firmware-flashhukommelse, der er tilgængelig til lagring af DBX. På grund af denne begrænsning og det store antal bootadministratorer, der skal blokeres (Windows-startadministratorer fra de seneste 10+ år), er det ikke muligt at være helt afhængig af DBX for dette problem.

Til dette problem har vi valgt en hybrid metode til at blokere de sårbare bootadministratorer. Kun nogle få bootstyringer, der blev udgivet i tidligere versioner af Windows, føjes til DBX. I Windows 10 og nyere versioner bruges der en Windows Defender WDAC-politik (Application Control), der blokerer sårbare Windows-startadministratorer. Når politikken anvendes på et Windows-system, låser bootstyringen politikken til systemet ved at føje en variabel til UEFI-firmwaren. Windows Boot Managers vil overholde politikken og UEFI-låsen. Hvis UEFI-låsen er på plads, og politikken er blevet fjernet, starter Windows Boot Manager ikke. Hvis politikken er på plads, starter startstyringen ikke, hvis den er blevet blokeret af politikken.

Vejledning til blokering af sårbare Windows-startadministratorer

BEMÆRK Brugerne skal have mulighed for at anvende variablen, så de kan styre, hvornår de er beskyttet.

Aktivering af UEFI-låsen medfører, at eksisterende Windows-medier, der kan startes fra, stopper med at starte, indtil mediet opdateres med de Windows-opdateringer, der er udgivet den 9. maj 2023 eller derefter. Du kan finde en vejledning til opdatering af medier i KB5025885: Sådan administrerer du Windows Boot Manager-tilbageførsler for ændringer af sikker bootstart, der er knyttet til CVE-2023-24932.

  • For systemer med sikker bootstart, der kun starter ikke-Windows-operativsystemer

    For systemer, der kun starter ikke-Windows-operativsystemer og aldrig vil starte Windows, kan disse afhjælpninger anvendes på systemet med det samme.

  • For systemer med dual bootstart af Windows og et andet operativsystem

    For systemer, der starter Windows, bør de ikke-Windows-afhjælpninger kun anvendes, når Windows-operativsystemet er blevet opdateret til de Windows-opdateringer, der er udgivet den 9. maj 2023 eller derefter.

Opret UEFI Lock

UEFI Lock har to variabler, der er nødvendige for at forhindre annullering af angreb i Windows Boot Manager. Disse variabler er som følger:

  • SKU SiPolicy-attributter

    Denne politik har følgende attributter:

    • Politiktype-id:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Specifikt filnavn på "SkuSiPolicy.p7b"

    • Specifik fysisk placering af EFI\Microsoft\Boot

    Ligesom alle signerede WDAC-politikker er en signeret SKU-politik beskyttet af to UEFI-variabler:

    • SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"

  • SKU SiPolicy-variabler

    Denne politik bruger to UEFI-variabler, der er gemt under EFI-navneområdet/leverandøren
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};

    • SKUSiPolicyVersion

      • er af typen ULONGLONG/UInt64 på kørselstidspunktet

      • er defineret af <VersionEx>2.0.0.2</VersionEx> i politik-XML i form af (MAJOR. MINDRE. REVISION. BUILDNUMBER)

      • Det er oversat til ULONGLONG som

        ((major##ULL << 48) + (underordnet##ULL << 32) + (revision##ULL << 16) + buildnummer)

        Hvert versionsnummer har 16 bit, så det har i alt 64 bit.

      • Den nyere politiks version skal være lig med eller større end den version, der er gemt i UEFI-variablen på kørselstidspunktet.

      • Beskrivelse: Sættet er versionen af politikken for kodeintegritet.

      • Attributter:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Navneområde-Guid:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Datatype:

        uint8_t[8]

      • Data:

        uint8_t SKUSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };

    • SKUSiPolicyUpdateSigners

      • Skal være Windows-underskriver.

      • Beskrivelse: Oplysninger om underskriver af politik.

      • Attributter:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Navneområde-Guid:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Datatype:

        uint8_t[131]

      • Data:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00,

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00 0x00

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00,

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00,

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00,

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00,

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06 0x01

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06 0x00,

              0x00, 0x00, 0x00};

Anvend DBX

Vi har udgivet filen DbxUpdate.bin for dette problem på UEFI.org. Disse hashes omfatter alle tilbagekaldte Windows-startadministratorer, der er udgivet mellem Windows 8 og den første udgivelse af Windows 10, der ikke overholder politikken for kodeintegritet.

Det er yderst vigtigt, at disse anvendes med omhu på grund af risikoen for, at de kan bryde et dual boot-system, der bruger flere operativsystemer og en af disse bootadministratorer. På kort sigt anbefaler vi, at disse hashes anvendes til alle systemer.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×