תאריך פרסום מקורי: (יום שלישי 13 פברואר 2025)
מזהה KB: 5053946
מבוא
מסמך זה מתאר את פריסת הגנות מפני עקיפת תכונת האבטחה של אתחול מאובטח שנחשף לציבור המשתמשת ב- BlackLotus UEFI bootkit ש- CVE-2023-24932 עוקב אחריו עבור סביבות ארגוניות.
כדי להימנע משיבושים, Microsoft אינה מתכנן לפרוס צמצום סיכונים אלה בארגונות, אך היא מספקת הדרכה זו כדי לסייע לארגונים להחיל את צמצום הסיכונים בעצמם. פעולה זו מעניקה לארגונים שליטה בתוכנית הפריסה ובתזמון של פריסות.
תחילת העבודה
חילקנו את הפריסה לשלבים מרובים שניתן להשיג על ציר זמן שמתאים לארגון שלך. עליך להכיר שלבים אלה. לאחר שתבנה טוב את השלבים, עליך לשקול כיצד הם יפעלו בסביבה שלך ולהכין תוכניות פריסה המתאימות לארגון שלך בציר הזמן שלך.
הוספת אישור Windows UEFI CA 2023 החדש וביטול אמון באישור Microsoft Windows Production PCA 2011 דורשת שיתוף פעולה מקשחת המכשיר. מאחר שקיים שילוב גדול של חומרה והקשחה של המכשיר, ו- Microsoft אינה יכולה לבדוק את כל השילובים, אנו ממליצים לך לבדוק מכשירים מייצגים בסביבה שלך לפני הפריסה רחבה. מומלץ לבדוק לפחות מכשיר אחד מכל סוג שבו נעשה שימוש בארגון שלך. חלק מהבעיות הידועות במכשיר שיחסום צמצום סיכונים אלה יתווכנו כחלק מ- KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל- CVE-2023-24932. אם אתה מזהה בעיית קושחה של מכשיר אינן מופיעות במקטע בעיות ידועות, עבוד עם ספק OEM שלך כדי לטפל בבעיה.
מאחר שמסמך זה מפנה לכמה אישורים שונים, הם מוצגים בטבלה הבאה לצורך עיון ובהירות קלים:
|
Old 2011 CAs |
As 2023 החדש (פג ב- 2038) |
פונקציה |
|
Microsoft Corporation KEK CA 2011 (פג ביולי 2026) |
Microsoft Corporation KEK CA 2023 |
חותם על עדכוני DB ו- DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (פג באוקטובר 2026) |
Windows UEFI CA 2023 (PCA2023) |
סימנים ל- Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (פג ביולי 2026) |
Microsoft UEFI CA 2023 ו- Microsoft Option ROM UEFI CA 2023 |
חותם על עומסי אתחול של ספקים חיצוניים והודעות ROMs של אפשרויות |
חשוב הקפד להחיל את עדכוני האבטחה האחרונים על מכונות הבדיקה לפני בדיקת מכשירים עם צמצום הסיכונים.
הערה במהלך בדיקת הקושחה של המכשיר, ייתכן שתגלה בעיות שמונעות מעדכוני האתחול המאובטח לפעול כראוי. הדבר עשוי לדרוש השגת קושחה מעודכנת מהיצרן (OEM) ועדכון הקושחה במכשירים המושפעים כדי לצמצם בעיות שאתה מציין.
יש להחיל ארבעה צמצום סיכונים כדי להגן מפני ההתקפות המתוארות ב- CVE-2023-24932:
-
צמצום סיכונים 1: התקן את הגדרת האישור המעודכן (PCA2023) ל- DB
-
צמצום סיכונים 2:עדכון מנהל האתחול במכשיר שלך
-
צמצום סיכונים 3:הפיכת הביטור לזמין (PCA2011)
-
צמצום סיכונים 4:החל את עדכון SVN על הקושחה
ניתן להחיל ארבעה צמצום סיכונים אלה באופן ידני על כל אחד ממכשירי הבדיקה בהתאם להנחיות המתוארות בהנחיות הפריסה של צמצום הסיכונים של KB5025885: כיצד לנהל את הביטולים של מנהל האתחול של Windows עבור שינויי אתחול מאובטח המשויכים ל- CVE-2023-24932, או על-ידי ביצוע ההנחיות במסמך זה. כל ארבעת צמצום הסיכונים מסתמך על הקושחה לפעול כראוי.
הבנת הסיכונים הבאים תעזור לך במהלך תהליך התכנון.
בעיות קושחה:לכל מכשיר יש קושחה שסופקה על-ידי יצרן המכשיר. עבור פעולות הפריסה המתוארות במסמך זה, הקושחה חייבת להיות היכולת לקבל ולעבד עדכונים למסד הנתונים של האתחול המאובטח (מסד נתונים של חתימה) ו- DBX (מסד נתונים של חתימה אסורה). בנוסף, הקושחה אחראית לאימות אפליקציות החתימה או האתחול, כולל מנהל האתחול של Windows. קושחת המכשיר היא תוכנה, כמו כל תוכנה, עשויה לכלול פגמים, ולכן חשוב לבדוק פעולות אלה לפני הפריסה רחבה.Microsoft בודקת באופן שוטף שילובים רבים של מכשירים/קושחה, החל מהמכשירים בתוך מעבדות ו משרדים של Microsoft, ו- Microsoft עובדת עם יצרני ציוד מקורי כדי לבדוק את המכשירים שלהם. כמעט כל המכשירים שנבדקו עברו ללא בעיה. במקרים מסוימים, נתקלנו בבעיות בקושחה שאינה מטפלת כראוי בעדכונים ואנו פועלים עם יצרני ציוד מקורי כדי לטפל בבעיות שאנו מודעים לה.
הערה במהלך בדיקת המכשיר, אם אתה מזהה בעיית קושחה, מומלץ לעבוד עם יצרן המכשיר/יצרן הציוד המקורי כדי לפתור את הבעיה. חפש את מזהה האירוע 1795 ביומן האירועים. ראה KB5016061: אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת פרטים נוספים על אירועי אתחול מאובטח.
התקן מדיה:על-ידי החלת 3 צמצום סיכונים 4 המתוארים בהמשך מסמך זה, כל מדיית התקנה קיימת של Windows לא תהיה עוד ניתנת לאתחול עד שהמדיה תכלול מנהל אתחול מעודכן. צמצום הסיכונים המתואר במסמך זה מונע ממנהלי אתחול ישנים ופגיעים לפעול על-ידי ביטול הכניסה שלהם בקושחה. פעולה זו מונעת מתוקף להחזיר את מנהל האתחול של המערכת לגירסה קודמת ולנצל פגיעויות שנמצאות בגירסאות קודמות. חסימת מנהלי אתחול פגיעים אלה אינה אמורה להשפיע על המערכת הפועלת. עם זאת, היא תמנע הפעלה של מדיה הניתנת לאתחול עד לעדכון מנהלי האתחול במדיה. הדבר כולל תמונות ISO, כונני USB ניתנים לאתחול ואתחול רשת (PxE ואתחול HTTP).
עדכן PCA2023 מנהל האתחול החדש
-
צמצום סיכונים 1: התקן את הגדרות האישורים המעודכנים DB הוספת אישור Windows UEFI CA 2023 החדש למסד הנתונים של חתימת האתחול המאובטח של UEFI (DB). על-ידי הוספת אישור זה ל- DB, קושחת המכשיר תסמוך על יישומי האתחול של Microsoft Windows החתמו על-ידי אישור זה.
-
צמצום 2: עדכן את מנהל האתחול במכשיר שלך החלת מנהל האתחול החדש של Windows החתום באמצעות אישור Windows UEFI CA 2023 החדש.
צמצום סיכונים זה חשוב עבור יכולת השירות לטווח הארוך של Windows במכשירים אלה. מאחר שאישור Microsoft Windows Production PCA 2011 בקושחה יפוג באוקטובר 2026, המכשירים חייבים לכלול את אישור WINDOWS UEFI CA 2023 החדש בקושחה לפני פקיעת התוקף, אחרת המכשיר לא יוכל עוד לקבל עדכוני Windows, תוך הצבתו במצב אבטחה פגיע.
לקבלת מידע אודות אופן החלת צמצום סיכונים 1 והפחתת הסיכון 2 בשני שלבים נפרדים (אם ברצונך להיות זהיר יותר, לפחות תחילה) ראה KB5025885: כיצד לנהל את הביטוליים של מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל- CVE-2023-24932. לחלופין, באפשרותך להחיל את שני צמצום הסיכונים על-ידי הפעלת פעולת מפתח הרישום ה יחיד הבאה כמנהל מערכת:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
עם החלת צמצום הסיכונים, הסיביות במפתח AvailableUpdates יימחקו. לאחר הגדרתו 0x140 והפעלה מחדש, הערך ישתנה לערך 0x100 ולאחר מכן, לאחר הפעלה מחדש נוספת, הוא ישתנה 0x000.
צמצום הסיכונים של מנהל האתחול לא יוחל עד הקושחה מציינת כי צמצום הסיכונים של אישור 2023 הוחל בהצלחה. אין אפשרות לבצע פעולות אלה לא לפי הסדר.
כאשר שני צמצום הסיכונים מוחלים, יוגדר מפתח רישום כדי לציין כי המערכת היא "2023 מסוגל", כלומר ניתן לעדכן את המדיה ואת צמצום 3 צמצום הסיכון 4 ניתן להחיל.
ברוב המקרים, השלמת צמצום סיכונים 1 והפחתת הסיכון 2 דורשת לפחות שתי הפעלות מחדש לפני החלת צמצום הסיכונים באופן מלא. הוספת הפעלות מחדש נוספות בסביבה שלך תעזור להבטיח שהסיכונים יוחלו מוקדם יותר. עם זאת, ייתכן שזה לא יהיה מעשי להחדיר באופן מלאכותי הפעלות מחדש נוספות, וייתכן שיהיה הגיוני להתיישם בהפעלות מחדש החודשיות המתרחשות כחלק מהחלת עדכוני האבטחה. פעולה זו משמעה פחות הפרעה בסביבה שלך, אך בסיכון שישתלט על אבטחתך.
לאחר פריסת Mitigation 1 ו- Mitigation 2 במכשירים שלך, עליך לנטר את המכשירים שלך כדי לוודא שהוחלו עליהם צמצום הסיכונים וכעת הם "2023 מסוגלים". ניתן לבצע ניטור על-ידי חיפוש מפתח הרישום הבא במערכת. אם המפתח קיים והוא מוגדר ל- 1, המערכת הוספה את אישור 2023 למשתנה DB של אתחול מאובטח. אם המפתח קיים והוא מוגדר ל- 2, למערכת יש אישור 2023 במסד הנתונים ומתחילה במנהל האתחול החתום של 2023.
|
מפתח משנה של רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
שם ערך מפתח |
WindowsUEFICA2023Capable |
|
|
סוג נתונים |
REG_DWORD |
|
|
נתונים |
0 – או המפתח אינו קיים - אישור "Windows UEFI CA 2023" אינו נמצא במסד הנתונים 1 - האישור "Windows UEFI CA 2023" נמצא במסד הנתונים 2 - אישור "Windows UEFI CA 2023" נמצא במסד הנתונים והמערכת מתחילה ממנהל האתחול החתום של 2023. |
|
עדכן מדיה הניתנת לאתחול
לאחר החלה של צמצום 1 והפחתת הסיכון 2 על המכשירים שלך, באפשרותך לעדכן כל מדיה הניתנת לאתחול שבה אתה משתמש בסביבה שלך. עדכון המדיה הניתנת לאתחול פירושו PCA2023 מנהל האתחול החתום על המדיה. הדבר כולל עדכון תמונות אתחול הרשת (כגון PxE ו- HTTP), תמונות ISO וכונני USB. אחרת, מכשירים שהוחלו על-ידי צמצום סיכונים לא יופעלו ממדיית אתחול המשתמשת במנהל האתחול הישן של Windows וב- 2011 CA.
כלים והדרכה לגבי אופן העדכון של כל סוג של מדיה הניתנת לאתחול זמינים כאן:
|
סוג מדיה |
משאב |
|
ISO, כונני USB וכן הלאה |
KB5053484: עדכון מדיה הניתנת לאתחול של Windows לשימוש במנהל PCA2023 האתחול החתום |
|
PXE Boot Server |
תיעוד שיש להציג מאוחר יותר |
במהלך תהליך עדכון המדיה שלך, עליך לוודא לבדוק את המדיה עם מכשיר שבו קיימות כל ארבע צמצום הסיכונים. שני צמצום הסיכונים הסופיים תחסום מנהלי אתחול ישנים ופגיעים. הגדרת מדיה עם מנהלי אתחול נוכחיים היא חלק חשוב בהשלמת תהליך זה.
הערה מאחר שתקיפות החזרה למצב קודם של מנהל האתחול הן מציאות ואנו מצפים שעדכונים שוטפיים למנהל האתחול של Windows ייטונו בבעיות אבטחה, אנו ממליצים לארגונים לתכנן עדכוני מדיה רגילים למחצה ויש להם תהליכים שיאפשרו להפוך עדכוני מדיה לקלות ופחות זמן. המטרה שלנו היא להגביל את מספר הרענון של מנהל אתחול המדיה לפחות פעמיים בשנה, במידת האפשר.
מדיה הניתנת לאתחול אינה כוללת את כונן מערכת ההתקנים שבו Windows נמצא בדרך כלל ומתחילה מ- באופן אוטומטי. מדיה ניתנת לאתחול משמשת בדרך כלל לאתחול מכשיר שאינו כולל גירסה ניתנת לאתחול של Windows ומדיה ניתנת לאתחול משמשת לעתים קרובות להתקנת Windows במכשיר.
הגדרות האתחול המאובטח של UEFI קובעות אילו מנהלי אתחול לתת אמון באמצעות Secure Boot DB (מסד נתונים של חתימה) ו- DBX (מסד נתונים של חתימות אסורות). מסד הנתונים מכיל את קוד ה- Hash ואת המפתחות עבור תוכנות מהימנות, וחנויות DBX בוטלו, נפגעו ומפתחות hash ומפתחות שאינם מהימנים כדי למנוע מתוכנות זדוניות או לא מורשות לפעול במהלך תהליך האתחול.
מומלץ לחשוב על מצבים שונים שבהם מכשיר יכול להיכלל ועל המדיה הניתנת לאתחול שניתן להשתמש בה עם המכשיר בכל אחד מהמדינות הללו. בכל המקרים, הקושחה קובעת אם היא צריכה לתת אמון במנהל האתחול שהיא מוצגת עם, ולאחר שהיא מפעילה את מנהל האתחול, DB ו- DBX כבר לא התייעצו על ידי הקושחה. מדיה הניתנת לאתחול יכולה להשתמש במנהל אתחול חתום של רשות אישורים (CA) 2011 או במנהל אתחול חתום של רשות אישורים (CA) 2023, אך לא בשניהם. הסעיף הבא מתאר באילו פריטים ניתן להשתמש במכשיר, ובבמקרים מסוימים, באילו מדיה ניתן לאתחל מהמכשיר.
תרחישי מכשירים אלה עשויים לסייע בעת יצירת תוכניות לפריסת צמצום הסיכונים בכל המכשירים שלך.
מכשירים חדשים
מכשירים חדשים מסוימים החלו למשלוח הן באמצעות תוכנות 2011 ו- 2023 CAs המותקנות מראש בקושחת המכשיר. לא כל היצרנים עברו למצב של שני המכשירים, וייתכן שעדיין יש להם התקני משלוח שרק רשות אישורים 2011 מותקנת בהם מראש.
-
מכשירים עם 2011 ו- 2023 CAs יכולים להפעיל מדיה הכוללת את מנהל האתחול החתום של רשות האישורים (CA) 2011 או את מנהל האתחול החתום של רשות האישורים (CA) 2023.
-
מכשירים שרק 2011 CA מותקן בהם יכולים לאתחל מדיה רק באמצעות מנהל האתחול החתום של רשות האישורים (CA) 2011. רוב המדיה הישנה יותר כוללת את מנהל האתחול החתום של רשות אישורים (CA) מגירסת 2011.
מכשירים עם צמצום סיכונים 1 ו- 2
מכשירים אלה הותקנו מראש עם רשות אישורים של 2011, ועל-ידי החלת 1 צמצום סיכונים, מותקנת כעת רשות אישורים 2023. מאחר שמכשירים אלה סומכים הן על CA, מכשירים אלה יכולים להפעיל הן את המדיה עם רשות האישורים (CA) של 2011 והן עם מנהל האתחול החתום של 2023.
מכשירים עם צמצום סיכונים 3 ו- 4
מכשירים אלה כוללים את רשות האישורים (CA) מגירסת 2011 הכלולות ב- DBX, ולא יתו עוד אמון במדיה עם מנהל אתחול חתום של רשות אישורים 2011. מכשיר עם תצורה זו יחיל מדיה רק עם מנהל אתחול חתום של רשות אישורים 2023.
איפוס אתחול מאובטח
אם הגדרות האתחול המאובטח אופסו אל ערכי ברירת המחדל, ייתכן שסיכונים שהוחלו על מסד הנתונים (הוספת רשות אישורים 2023) ו- DBX (ביטול אמון רשות אישורים 2011) לא יהיו עוד במקומם. אופן הפעולה תלוי בהגדרות ברירת המחדל של הקושחה.
DBX
אם הוחלו צמצום 3 ו/או 4 ו- DBX מנוקה, רשות אישורים 2011 לא תופיע ברשימת ה- DBX ועדיין תהיה מהימנה. במקרה כזה, יהיה צורך להחיל מחדש צמצום סיכונים 3 ו/או 4.
מסד נתונים
אם מסד הנתונים הכיל את רשות האישורים (CA) 2023 והוא מוסר על-ידי איפוס הגדרות האתחול המאובטח להגדרות ברירת המחדל, ייתכן שהמערכת לא תוכל לבצע אתחול אם המכשיר מסתמך על מנהל האתחול החתום של רשות האישורים (CA) 2023. אם ההתקן אינו מאתחל, השתמש בכלי securebootrecovery.efi המתואר ב- KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל- CVE-2023-24932 כדי לשחזר את המערכת.
לא PCA2011 ולהחיל מספר גירסה מאובטחת על DBX
-
צמצום סיכונים 3: אפשר ביטול תוקף ביטול אמון באישור Microsoft Windows Production PCA 2011 על-ידי הוספתו ל- DBX של אתחול מאובטח בקושחות. פעולה זו תגרום הקושחה לא לתת אמון בכל מנהלי האתחול חתומים של רשות האישורים (CA) 2011 וכל מדיה ש מסתמכת על מנהל האתחול החתום של רשות האישורים (CA) 2011.
-
צמצום סיכונים 4: החל את עדכון מספר הגירסה המאובטחת על הקושחה החלת העדכון של מספר גירסה מאובטחת (SVN) על DBX של האתחול המאובטח של הקושחות. כאשר מנהל אתחול חתום של 2023 מתחיל לפעול, הוא מבצע בדיקה עצמית על-ידי השוואת ה- SVN המאוחסן בקושחה עם ה- SVN המוכלל במנהל האתחול. אם SVN של מנהל האתחול נמוך מ- SVN הקושחה, מנהל האתחול לא יפעל. תכונה זו מונעת מתוקף להחזיר את מנהל האתחול לגירסה ישנה יותר שאינה מעודכנת. עבור עדכוני אבטחה עתידיים למנהל האתחול, ה- SVN יהיה מצטבר, ויש להחיל מחדש את הפחתת הסיכון 4.
חשוב יש להשלים את צמצום הסיכונים 1 ואת צמצום הסיכונים 2 לפני החלת הפחתת הסיכון 3 ו- 4 צמצום סיכונים.
לקבלת מידע אודות אופן החלת צמצום סיכונים 3 ו- 4 צמצום סיכונים בשני שלבים נפרדים (אם ברצונך להיות זהיר יותר, לפחות תחילה) ראה KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויי אתחול מאובטח המשויכים ל- CVE-2023-24932 או להחיל את שני צמצום הסיכונים על-ידי הפעלת פעולת מפתח הרישום הנפרדת הבאה כמנהל מערכת:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
החלת שני צמצום הסיכונים יחד תדרוש הפעלה מחדש אחת בלבד כדי להשלים את הפעולה.
-
צמצום סיכונים 3: באפשרותך לוודא שרשימת הביטול הוחלה בהצלחה על-ידי חיפוש מזהה אירוע : 1037 ביומן האירועים, לפי KB5016061: Secure Boot DB ו- DBX variable update events.לחלופין, באפשרותך להפעיל את הפקודה הבאה של PowerShell כמנהל מערכת ולהוודא שהיא מחזירה True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
צמצום סיכונים 4: שיטה לאישור כי הגדרת SVN הוחלה עדיין אינה קיימת. מקטע זה יתעדכן כאשר פתרון יהיה זמין.
ספרי עזר
KB5016061: אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח
KB5053484: עדכון מדיה הניתנת לאתחול של Windows לשימוש במנהל PCA2023 האתחול החתום
