מבוא
Microsoft היתה מודעת לפגיעות עם מנהל האתחול של Windows שמאפשרת לתוקף לעקוף אתחול מאובטח. הבעיה במנהל האתחול תוקנה והופץ כעדכון אבטחה. הפגיעות הנותרת היא שתוקף בעל הרשאות ניהול או גישה פיזית למכשיר יכול להחזיר את מנהל האתחול לגירסה ללא תיקון האבטחה. פגיעות זו של חזרה למצב קודם משמשת את התוכנות הזדוניות BlackLotus כדי לעקוף אתחול מאובטח המתואר על-ידי CVE-2023-24932. כדי לפתור בעיה זו, נבטל את מנהלי האתחול הפגיעים.
עקב המספר הגדול של מנהלי אתחול שיש לחסום, אנו משתמשים בדרך חלופית לחסום את מנהלי האתחול. בעיה זו משפיעה על מערכות הפעלה שאינן של Windows שבהם יהיה צורך לכלול תיקון במערכות אלה כדי לחסום את השימוש של מנהלי האתחול של Windows בווקטור תקיפה במערכות הפעלה שאינן של Windows.
מידע נוסף
שיטה אחת לחסימת קבצים בינאריים פגיעים של יישום EFI שנטען על-ידי הקושחה היא להוסיף Hashs של היישומים הפגיעים לרשימה אסורה של UEFI (DBX). רשימת DBX מאוחסנת ב- Flash המנוהל על-ידי קושחת המכשירים. ההגבלה של שיטת חסימה זו היא זיכרון ההבזק המוגבלת של הקושחה הזמין לאחסון DBX. עקב מגבלה זו והמספר הגדול של מנהלי האתחול שיש לחסום (מנהלי אתחול של Windows מ- 10 השנים האחרונות), לא ניתן להשתמש ב- DBX בלבד עבור בעיה זו.
עבור בעיה זו, בחרנו שיטה היברידית לחסימת מנהלי האתחול הפגיעים. רק כמה מנהלי אתחול שפורסמו בגירסאות קודמות של Windows יתווספו ל- DBX. עבור Windows 10 ואילך, ייעשה שימוש במדיניות בקרת Windows Defender (WDAC) החוסמת מנהלי אתחול פגיעים של Windows. כאשר המדיניות מוחלת על מערכת Windows, מנהל האתחול "נועל" את המדיניות למערכת על-ידי הוספת משתנה הקושחה UEFI. מנהלי האתחול של Windows מכבדים את המדיניות ואת נעילת UEFI. אם נעילת UEFI תם והמדיניות הוסרה, מנהל האתחול של Windows לא יופעל. אם המדיניות נמצאת במקומה, מנהל האתחול לא יופעל אם היא נחסמה על-ידי המדיניות.
הדרכה לחסימת מנהלי אתחול פגיעים של Windows
הערה יש לאפשר למשתמשים להחיל את המשתנה כך שהם יוכלו לשלוט כשהם מוגנים.
הפיכת נעילת UEFI לזמין תגרום למדיה הקיימת של Windows הניתנת לאתחול להפסיק את האתחול עד לעדכון המדיה בעדכוני Windows שהופצו ב- 9 במאי 2023 או לאחר מכן. ניתן למצוא הדרכה לעדכון מדיה ב- KB5025885: כיצד לנהל את ביטולי מנהל האתחול של Windows עבור שינויים באתחול מאובטח המשויכים ל- CVE-2023-24932.
-
עבור מערכות מותאמות לאתחול מאובטח שאתחול מערכות הפעלה שאינן של Windows בלבד
עבור מערכות שמתחילות רק מערכות הפעלה שאינן של Windows ולעולם לא יחילו את Windows, ניתן להחיל על המערכת באופן מיידי צמצום סיכונים. -
עבור מערכות אתחול כפול של Windows ומערכת הפעלה אחרת
עבור מערכות ש- Windows מופעלות, יש להחיל את צמצום הסיכונים שאינו של Windows רק לאחר עדכון מערכת ההפעלה Windows לעדכונים של Windows שהופצו ב- 9 במאי 2023 או לאחר מכן.
יצירת UEFI Lock
UEFI Lock כולל שני משתנים הנדרשים כדי למנוע תקיפות של חזרה למצב קודם במנהל האתחול של Windows. משתנים אלה הם כדלקמן:
-
תכונות SKU SiPolicy
מדיניות זו כוללת את התכונות הבאות:
-
מזהה סוג מדיניות:
{976d12c8-cb9f-4730-be52-54600843238e}
-
שם קובץ ספציפי של "SkuSiPolicy.p7b"
-
מיקום פיזי ספציפי של EFI\Microsoft\Boot
כמו כל פריטי המדיניות החתומות של WDAC, מדיניות SKU חתומה מוגנת על-ידי שני משתני UEFI:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
משתני SiPolicy של
SKU מדיניות זו משתמשת בשני משתני UEFI המאוחסנים תחת מרחב השמות/הספק
של EFI GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
הוא מסוג ULONGLONG/UInt64 בזמן ריצה
-
מוגדר על-ידי<VersionEx>2.0.0.2</VersionEx> בתוך XML של מדיניות בתבנית של (MAJOR. מינור. תיקון. BUILDNUMBER)
-
הוא מתורגם ל- ULONG בתור
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)
לכל מספר גירסה יש 16 סיביות, כך שהוא כולל 64 סיביות בסך הכל.
-
גירסת המדיניות החדשה יותר חייבת להיות שווה או מתקדמת יותר מהגירסה המאוחסנת במשתנה UEFI בזמן ריצה.
-
תיאור: Set היא גירסת מדיניות האתחול של תקינות הקוד.
-
תכונות:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS זה
-
Guid של מרחב שמות:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
סוג נתונים:
uint8_t[8]
-
נתונים:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
חייב להיות החותם של Windows.
-
תיאור: פרטי חותם מדיניות.
-
תכונות:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS זה
-
Guid של מרחב שמות:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
סוג נתונים:
uint8_t אישית[131]
-
נתונים:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
החלת ה- DBX
פרסמנו את הקובץ DbxUpdate.bin עבור בעיה זו ב- UEFI.org. Hashs אלה כוללים את כל מנהלי האתחול של Windows שבולו בין Windows 8 לבין המהדורה הראשונית של Windows 10 שאינם מכבדים את מדיניות תקינות הקוד.
חשיבותה העליונה היא שהם מוחלים בדאגות בשל הסיכון שהם עלולים לשבור מערכת אתחול כפול המשתמשת במערכות הפעלה מרובות ובמנהל אתחול זה. בטווח הקצר, מומלץ להחיל קוד Hash זה עבור כל מערכת.
