KB5027455: Smjernice za blokiranje ranjivih upravitelja pokretanja sustava Windows

Uvod

Microsoft je upoznat s ranjivošću pomoću upravitelja pokretanja sustava Windows koji napadaču omogućuje zaobilaženje sigurnog pokretanja. Problem u upravitelju pokretanja riješen je i objavljen kao sigurnosno ažuriranje. Preostala je ranjivost to što napadač s administrativnim ovlastima ili fizičkim pristupom uređaju može vratiti upravitelja pokretanja na verziju bez sigurnosnog popravka. Ovu ranjivost vraćanja na prethodnu verziju koristi zlonamjerni softver BlackLotus za zaobilaženje sigurnog pokretanja koje opisuje CVE-2023-24932. Da bismo riješili taj problem, opozvati ćemo ranjive upravitelje pokretanja.

Zbog velikog broja upravitelja pokretanja koji moraju biti blokirani, upotrebljavamo alternativni način blokiranja upravitelja pokretanja. To utječe na operacijske sustave koji nisu operacijski sustavi Windows jer se u tim sustavima mora pružati popravak da bi se upraviteljima pokretanja sustava Windows blokiralo korištenje kao vektor napada na operacijskim sustavima koji nisu windows.

Dodatne informacije

Jedan od načina blokiranja ranjivih binarnih datoteka APLIKACIJA EFI-ja u učitavanje programske opreme jest dodavanje raspršivanja ranjivih aplikacija na zabranjeni popis UEFI-ja (DBX). POPIS DBX pohranjuje se u bljeskalicu upravljane opreme uređaja. Ograničenje ove metode blokiranja ograničena je flash memorija programske opreme dostupna za pohranu DBX-a. Zbog tog ograničenja i velikog broja upravitelja pokretanja koji se moraju blokirati (upravitelji pokretanja sustava Windows od zadnjih 10 godina), potpuno se uzimanje dbX-a za taj problem nije moguće.

U tom smo problemu odabrali hibridnu metodu blokiranja ranjivih upravitelja pokretanja. U DBX će biti dodano samo nekoliko upravitelja pokretanja koji su izdani u starijim verzijama sustava Windows. Za Windows 10 i novije verzije koristit će se Windows Defender kontrole aplikacija (WDAC) koji blokira ranjive upravitelje pokretanja sustava Windows. Kada se pravilnik primijeni na sustav Windows, upravitelj pokretanja "zaključat će" pravilnik sustavu dodavanjem varijable UEFI firmveru. Upravitelji pokretanja sustava Windows poštovat će pravilnik i zaključavanje UEFI-ja. Ako je zaključavanje UEFI-ja na mjestu i pravilnik je uklonjen, upravitelj pokretanja sustava Windows neće se pokrenuti. Ako je pravilnik postavljen, upravitelj pokretanja neće se pokrenuti ako ga je pravilnik blokirao.

Smjernice za blokiranje ranjivih upravitelja pokretanja sustava Windows

NAPOMENA Korisnicima bi se trebala dati mogućnost primjene varijable da bi mogli kontrolirati kada su zaštićeni.

Omogućivanjem zaključavanja UEFI-ja postojeći medij za pokretanje sustava Windows prestat će se pokrenuti dok se medijski sadržaj ne ažurira ažuriranjima sustava Windows objavljenima 9. svibnja 2023. ili kasnije. Smjernice za ažuriranje medija mogu se pronaći u ažuriranju KB5025885: Kako upravljati opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932.

Za sustave s omogućenim sigurnim pokretanjem koji samo dižu operacijske sustave koji nisu operacijski sustavi

Windows Za sustave koji pokreću samo operacijske sustave koji nisu windows i nikad se neće pokrenuti Sustav Windows, ta se ublažavanja mogu odmah primijeniti na sustav.
Za sustave s dvostrukim pokretanjem sustava Windows i drugog operacijskog sustava

Za sustave koji započinju Sustav Windows ublažavanje ne-Windows treba primijeniti samo nakon što je operacijski sustav Windows ažuriran na ažuriranja sustava Windows objavljena 9. svibnja 2023. ili kasnije.

Stvaranje UEFI zaključavanja

UEFI Lock ima dvije varijable koje su potrebne za sprječavanje vraćanja na prijašnje napade u upravitelju pokretanja sustava Windows. Te su varijable sljedeće:

Atributi siPolicy SKU-a

Ovaj pravilnik ima sljedeće atribute:
- ID vrste pravilnika:
  
  {976d12c8-cb9f-4730-be52-54600843238e}
- Određeni naziv datoteke "SkuSiPolicy.p7b"
- Određena fizička lokacija EFI\Microsoft\Boot
Kao i sva potpisana WDAC pravila, potpisani SKU pravilnik zaštićen je dvje varijablama UEFI-ja:
- SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
- SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
Varijable SKU-a siPolicy

Ovaj pravilnik koristi dvije varijable UEFI-ja pohranjene u prostoru za naziv EFI-ja/dobavljaču
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

#define SECUREBOOT_EFI_NAMESPACE_GUID \

{0x77fa9abd, 0x0359, 0x4d32, \

{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
- SkuSiPolicyVersion
  - je vrste ULONGLONG/UInt64 pri izvođenju
  - definirano je <VersionEx>2.0.0.2</VersionEx> unutar XML-a pravilnika u obliku (MAJOR). MANJE. REVIZIJE. BROJ MEĐUVERZIJE)
  - Preveden je u ULONGLONG kao
    
    ((glavni##ULL << 48) + (maloljetnik##ULL << 32) + (revizija##ULL << 16) + broj međuverzije)
    
    Svaki broj verzije ima 16 bitova, pa ima ukupno 64 bita.
  - Novija verzija pravilnika mora biti jednaka ili veća od verzije pohranjene u varijabli UEFI prilikom izvođenja.
  - Opis: postavljanje verzije pravila pokretanja integriteta koda.
  - Atribute:
    
    (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
  - Guid prostora za naziv:
    
    77fa9abd-0359-4d32-bd60-28f4e78f784b
  - Vrsta podataka:
    
    uint8_t[8]
  - Podataka:
    
    uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
- SkuSiPolicyUpdateSigners
  - Mora biti windows potpisnik.
  - Opis: informacije o potpisniku pravilnika.
  - Atribute:
    
    (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
  - Guid prostora za naziv:
    
    77fa9abd-0359-4d32-bd60-28f4e78f784bd
  - Vrsta podataka:
    
    uint8_t[131]
  - Podataka:
    
    uint8_tSkuSiPolicyUpdateSigners[131] =
    
    { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
    
    0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
    
    0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
    
    0x00, 0x00, 0x00};

Primjena DBX-a

Objavili smo datoteku DbxUpdate.bin za taj problem na UEFI.tvrtka ili ustanova. Ti raspršivanja obuhvaćaju sve opozvane upravitelje pokretanja sustava Windows objavljene između Windows 8 i početnog izdanja sustava Windows 10 koji ne poštuju pravilnik o integritetu koda.

To je od krajnje važnosti da se primjenjuju s pažnjom zbog rizika da oni mogu razbiti dual boot sustav koji koristi više operacijskih sustava i jedan od tih boot menadžera. Ukratko, preporučujemo da se za svaki sustav ti raspršivanja po želji primjenjuju.

KB5027455: Smjernice za blokiranje ranjivih upravitelja pokretanja sustava Windows

Uvod

Dodatne informacije

Smjernice za blokiranje ranjivih upravitelja pokretanja sustava Windows

Stvaranje UEFI zaključavanja

Primjena DBX-a

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!