Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Εισαγωγή

Η Microsoft ενημερώθηκε για μια ευπάθεια με τη Διαχείριση εκκίνησης των Windows που επιτρέπει σε έναν εισβολέα να παρακάμψει την Ασφαλή εκκίνηση. Το πρόβλημα στη διαχείριση εκκίνησης διορθώθηκε και κυκλοφόρησε ως ενημέρωση ασφαλείας. Η υπόλοιπη ευπάθεια είναι ότι ένας εισβολέας με δικαιώματα διαχείρισης ή φυσική πρόσβαση στη συσκευή μπορεί να επαναφέρει τη διαχείριση εκκίνησης σε μια έκδοση χωρίς την επιδιόρθωση ασφαλείας. Αυτή η ευπάθεια επαναφοράς χρησιμοποιείται από το λογισμικό κακόβουλης λειτουργίας BlackLotus για την παράκαμψη της Ασφαλούς εκκίνησης που περιγράφεται από το CVE-2023-24932. Για να επιλύσετε αυτό το πρόβλημα, θα ανακαλέσουμε τους ευάλωτους διαχειριστές εκκίνησης.

Λόγω του μεγάλου αριθμού διαχειριστών εκκίνησης που πρέπει να αποκλειστούν, χρησιμοποιούμε έναν εναλλακτικό τρόπο αποκλεισμού των διαχειριστών εκκίνησης. Αυτό επηρεάζει τα λειτουργικά συστήματα που δεν ανήκουν στα Windows, καθώς θα πρέπει να παρασχεθεί επιδιόρθωση σε αυτά τα συστήματα, ώστε οι διαχειριστές εκκίνησης των Windows να μην μπορούν να χρησιμοποιηθούν ως άνυσμα επίθεσης σε λειτουργικά συστήματα που δεν είναι windows.

Περισσότερες πληροφορίες

Μια μέθοδος αποκλεισμού των ευάλωτων δυαδικών εφαρμογών EFI από το υλικολογισμικό είναι η προσθήκη κατακερματισμού των ευάλωτων εφαρμογών στη Λίστα απαγορευμένων εφαρμογών UEFI (DBX). Η λίστα DBX αποθηκεύεται στο flash με διαχείριση υλικολογισμικού συσκευών. Ο περιορισμός αυτής της μεθόδου αποκλεισμού είναι η περιορισμένη μνήμη flash υλικολογισμικού που είναι διαθέσιμη για την αποθήκευση του DBX. Εξαιτίας αυτού του περιορισμού και του μεγάλου αριθμού διαχειριστών εκκίνησης που πρέπει να αποκλειστούν (διαχειριστές εκκίνησης των Windows από τα τελευταία 10+ έτη), δεν είναι δυνατό να βασιστείτε εξ ολοκλήρου στο DBX για αυτό το πρόβλημα.

Για αυτό το πρόβλημα, έχουμε επιλέξει μια υβριδική μέθοδο αποκλεισμού των ευάλωτων διαχειριστών εκκίνησης. Μόνο λίγοι διαχειριστές εκκίνησης που κυκλοφόρησαν σε προηγούμενες εκδόσεις των Windows θα προστεθούν στο DBX. Για Windows 10 και νεότερες εκδόσεις, θα χρησιμοποιηθεί μια πολιτική ελέγχου εφαρμογών Windows Defender (WDAC) που αποκλείει ευάλωτους διαχειριστές εκκίνησης των Windows. Όταν η πολιτική εφαρμόζεται σε ένα σύστημα Windows, η διαχείριση εκκίνησης θα "κλειδώσει" την πολιτική στο σύστημα προσθέτοντας μια μεταβλητή στο υλικολογισμικό UEFI. Οι διαχειριστές εκκίνησης των Windows θα τηρούν την πολιτική και το κλείδωμα UEFI. Αν το κλείδωμα UEFI είναι στη θέση του και η πολιτική έχει καταργηθεί, η διαχείριση εκκίνησης των Windows δεν θα εκκινηθεί. Αν η πολιτική είναι σε ισχύ, η διαχείριση εκκίνησης δεν θα ξεκινήσει αν έχει αποκλειστεί από την πολιτική.

Οδηγίες για τον αποκλεισμό ευάλωτων διαχειριστών εκκίνησης των Windows

ΣΗΜΕΊΩΣΗ Οι χρήστες θα πρέπει να έχουν την επιλογή να εφαρμόσουν τη μεταβλητή, ώστε να μπορούν να ελέγχουν πότε προστατεύονται.

Η ενεργοποίηση του κλειδώματος UEFI θα προκαλέσει τη διακοπή της εκκίνησης του υπάρχοντος μέσου windows με δυνατότητα εκκίνησης μέχρι να ενημερωθεί το μέσο με τις ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 9 Μαΐου 2023. Οδηγίες για την ενημέρωση πολυμέσων μπορείτε να βρείτε στην ενημέρωση KB5025885: Πώς μπορείτε να διαχειριστείτε τις ανακλήσεις της Διαχείρισης εκκίνησης των Windows για αλλαγές ασφαλούς εκκίνησης που σχετίζονται με το CVE-2023-24932.

  • Για συστήματα με δυνατότητα Ασφαλούς εκκίνησης που εκκινούν μόνο λειτουργικά συστήματα

    που δεν είναι windows Για συστήματα που ξεκινούν μόνο λειτουργικά συστήματα εκτός των Windows και δεν θα εκκινήσουν ποτέ τα Windows, αυτοί οι μετριασμούς μπορούν να εφαρμοστούν αμέσως στο σύστημα.

  • Για συστήματα διπλής εκκίνησης των Windows και άλλου λειτουργικού συστήματος

    Για τα συστήματα που εκκινούν τα Windows, οι μετριασμούς που δεν ανήκουν στα Windows θα πρέπει να εφαρμόζονται μόνο μετά την ενημέρωση του λειτουργικού συστήματος Windows στις ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 9 Μαΐου 2023.

Δημιουργία του UEFI Lock

Το κλείδωμα UEFI έχει δύο μεταβλητές που απαιτούνται για την αποτροπή επιθέσεων επαναφοράς στη διαχείριση εκκίνησης των Windows. Αυτές οι μεταβλητές είναι οι εξής:

  • Χαρακτηριστικά SKU SiPolicy

    Αυτή η πολιτική έχει τα ακόλουθα χαρακτηριστικά:

    • Αναγνωριστικό τύπου πολιτικής:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Συγκεκριμένο όνομα αρχείου "SkuSiPolicy.p7b"

    • Συγκεκριμένη φυσική θέση του EFI\Microsoft\Boot

    Όπως όλες οι υπογεγραμμένες πολιτικές WDAC, μια υπογεγραμμένη πολιτική SKU προστατεύεται από δύο μεταβλητές UEFI:

    • SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"

  • Μεταβλητές

    SKU SiPolicy Αυτή η πολιτική χρησιμοποιεί δύο μεταβλητές UEFI που είναι αποθηκευμένες στο χώρο ονομάτων EFI/προμηθευτή
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78 0x4b}}.

    • SkuSiPolicyVersion

      • είναι τύπου ULONGLONG/UInt64 στο περιβάλλον εκτέλεσης

      • ορίζεται από <VersionEx>2.0.0.2</VersionEx> εντός της XML πολιτικής με τη μορφή (MAJOR. ΜΙΚΡΈΣ. ΑΝΑΘΕΏΡΗΣΗ. BUILDNUMBER)

      • Μεταφράζεται σε ULONGLONG ως

        ((κύρια##ULL << 48) + (δευτερεύουσα##ULL << 32) + (αναθεώρηση##ULL << 16) + αριθμός δομής)

        Κάθε αριθμός έκδοσης έχει 16 bit, επομένως έχει συνολικά 64 bit.

      • Η έκδοση της νεότερης πολιτικής πρέπει να είναι ίση ή μεγαλύτερη από την έκδοση που είναι αποθηκευμένη στη μεταβλητή UEFI κατά το χρόνο εκτέλεσης.

      • Περιγραφή: Ορίστε την έκδοση πολιτικής εκκίνησης ακεραιότητας κώδικα.

      • Χαρακτηριστικά:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Guid χώρου ονομάτων:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Τύπος δεδομένων:

        uint8_t[8]

      • Δεδομένων:

        uint8_t SkuSiPolicyVersion[8] = { 0x2\0x0\0x0\0x0\0x0\0x0\0x2\0x0 };

    • SkuSiPolicyUpdateSigners

      • Πρέπει να είναι ο υπογράφων των Windows.

      • Περιγραφή: Πληροφορίες υπογράφοντα πολιτικής.

      • Χαρακτηριστικά:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Guid χώρου ονομάτων:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Τύπος δεδομένων:

        uint8_t[131]

      • Δεδομένων:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02 0x00

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06 0x01

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06 0x00

              0x00, 0x00, 0x00},

Εφαρμογή του DBX

Κυκλοφορήσαμε το αρχείο DbxUpdate.bin για αυτό το πρόβλημα στο UEFI.org. Αυτοί οι κατακερματισμένοι κατακερματισμένοι δίσκοι περιλαμβάνουν όλους τους διαχειριστές εκκίνησης των Windows που έχουν ανακληθεί και οι οποίες κυκλοφόρησαν μεταξύ του Windows 8 και της αρχικής έκδοσης των Windows 10 που δεν σέβονται την Πολιτική ακεραιότητας κώδικα.

Είναι μεγάλης σημασίας αυτά να εφαρμόζονται με προσοχή, λόγω του κινδύνου να σπάσουν ένα σύστημα διπλής εκκίνησης που χρησιμοποιεί πολλά λειτουργικά συστήματα και έναν από αυτούς τους διαχειριστές εκκίνησης. Βραχυπρόθεσμα, συνιστάται η προαιρετική εφαρμογή αυτών των κατακερματισμένων

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×