Izvorni datum objave: 13. veljače 2025.
KB ID: 5053946
Uvod
U ovom se dokumentu opisuje implementacija zaštite od javno otkrivenog zaobilaženje sigurnosnih značajki sigurnog pokretanja koje koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932 za korporacijska okruženja.
Da bi izbjegao prekide, Microsoft ne planira implementaciju tih ublažavanja u poduzećima, ali pruža ove smjernice za pomoć poduzećima pri primjeni samih ublažavanja. To tvrtkama omogućuje kontrolu nad planom implementacije i tempiranjem implementacija.
Prvi koraci
Implementaciju smo podijelili na više koraka koje je moguće postići na vremenskoj crti koja funkcionira za vašu tvrtku ili ustanovu. Upoznajte se s ovim koracima. Kada ste dobro razumjeli korake, razmislite o tome kako će funkcionirati u vašem okruženju i pripremite planove implementacije koji funkcioniraju za vašu tvrtku na vremenskoj crti.
Dodavanje novog certifikata za Windows UEFI CA 2023 i poništavanje pouzdanosti certifikata Microsoft Windows Production PCA 2011 zahtijeva suradnju iz opreme uređaja. Budući da postoji velika kombinacija hardvera i opreme uređaja, a Microsoft ne može testirati sve kombinacije, preporučujemo vam da testirate reprezentativne uređaje u vašem okruženju prije široko implementacije. Preporučujemo da testirate najmanje jedan uređaj svake vrste koji se koristi u vašoj tvrtki ili ustanovi. Neki poznati problemi s uređajem koji blokiraju ta ublažavanja dokumentirani su kao dio programa KB5025885: Kako upravljati opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932. Ako otkrijete problem s firmverom uređaja koji nije naveden u odjeljku Poznati problemi, surađite s dobavljačem OEM-a da biste riješili problem.
Budući da se ovaj dokument poziva na nekoliko različitih certifikata, prikazuju se u sljedećoj tablici radi lakše reference i jasnoće:
|
Stari 2011. |
Nova 2023. (istječe 2038.) |
Funkcija |
|
Microsoft Corporation KEK CA 2011 (istječe u srpnju 2026.) |
Microsoft Corporation KEK CA 2023 |
Potpisuje ažuriranja za DB i DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (istječe u listopadu 2026.) |
Windows UEFI CA 2023 (PCA2023) |
Potpisuje windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (istječe u srpnju 2026.) |
Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 |
Potpisuje bootloaders drugih proizvođača i MOGUĆNOST ROM-ova |
Važno Obavezno primijenite najnovija sigurnosna ažuriranja na testna računala prije testiranja uređaja s ublažavanjem.
Napomena Tijekom testiranja opreme uređaja možete otkriti probleme koji sprječavaju pravilno funkcioniranje ažuriranja sigurnog pokretanja. To može zahtijevati dobivanje ažurirane opreme od proizvođača (OEM) i ažuriranje firmvera na zahvaćenim uređajima radi umanjivanja problema koje otkrijete.
Postoje četiri ublažavanja koja se moraju primijeniti za zaštitu od napada opisanih u CVE-2023-24932:
-
Ublažavanje 1: Instalacija ažurirane definicije certifikata (PCA2023) u bazu podataka
-
Ublažavanje 2:Ažuriranje upravitelja pokretanja na uređaju
-
Ublažavanje 3:Omogući opoziv (PCA2011)
-
Ublažavanje 4:Primjena ažuriranja SVN-a na opremu
Ta se četiri ublažavanja mogu ručno primijeniti na svaki od testnih uređaja prema uputama opisanima u smjernicama implementacije ublažavanja sustava KB5025885: Kako upravljati opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932 ili slijedeći upute u ovom dokumentu. Sva četiri ublažavanja koriste se za pravilno funkcioniranje firmvera.
Razumijevanje sljedećih rizika pomoći će vam tijekom postupka planiranja.
Problemi s programom:Svaki uređaj ima opremu koju pruža proizvođač uređaja. Za operacije implementacije opisane u ovom dokumentu programska oprema mora moći prihvaćati i obrađivati ažuriranja baze podataka sigurnog pokretanja (baze podataka potpisa) i DBX -a (baze podataka zabranjenih potpisa). Osim toga, oprema je odgovorna za provjeru valjanosti aplikacija za potpis ili pokretanje, uključujući upravitelj pokretanja sustava Windows. Oprema uređaja je softver i, kao i svaki softver, može imati nedostatke, zbog čega je važno testirati te operacije prije široke implementacije.Microsoft je u tijeku testiranje mnogih kombinacija uređaja/opreme, počevši od uređaja u Microsoftovim laboratorijima i uredima, a Microsoft radi s OEM-ima na testiranju svojih uređaja. Gotovo svi testirani uređaji prošli su bez problema. U nekoliko smo slučajeva primijetili probleme s programom firmware koji ne rukuju ispravno ažuriranjima i radimo s OEM-ima na rješavanju problema kojih smo svjesni.
Napomena Ako tijekom testiranja uređaja otkrijete problem s firmverom, preporučujemo da radite s proizvođačem uređaja ili OEM-om da biste riješili problem. U zapisniku događaja potražite ID događaja 1795 . Dodatne KB5016061: Događaji ažuriranja secure boot DB i DBX varijabli za dodatne informacije o događajima sigurnog pokretanja.
Instaliraj medijske sadržaje:Primjenom ublažavanja 3 i ublažavanja 4 opisanog u nastavku ovog dokumenta postojeći medij za instalaciju sustava Windows više se neće moći pokrenuti dok medijski sadržaj ne ima ažurirani upravitelj pokretanja. Ublažavanja opisana u ovom dokumentu sprječavaju pokretanje starih i ranjivih upravitelja pokretanja tako da ih ne pouzdaju u opremu. Time se napadaču onemogunjuje vraćanje upravitelja pokretanja sustava na prethodnu verziju i iskorištavanje slabih točaka u starijim verzijama. Blokiranje tih ranjivih upravitelja pokretanja ne bi trebalo utjecati na pokrenuti sustav. To će, međutim, spriječiti pokretanje bilo kojeg medija za pokretanje dok se upravitelji pokretanja na mediju ne ažuriraju. To obuhvaća ISO slike, USB pogone za pokretanje i pokretanje mreže (PxE i HTTP pokretanje).
Ažuriraj na PCA2023 i novog upravitelja pokretanja
-
Mitigation 1: Install the updated certificate definitions to the DB Dodaje novi certifikat za Windows UEFI CA 2023 u UEFI bazu podataka potpisa sigurnog pokretanja (DB). Dodavanjem ovog certifikata u BAZU podataka oprema uređaja smatrat će aplikacije za pokretanje sustava Microsoft Windows potpisane ovim certifikatom.
-
Mitigation 2: Update the boot manager on your device Primjenjuje novi upravitelj pokretanja sustava Windows potpisan novim certifikatom za Windows UEFI CA 2023.
Ta su ublažavanja važna za dugoročnu servisnost sustava Windows na tim uređajima. Budući da će certifikat Microsoft Windows Production PCA 2011 u firmveru isteći u listopadu 2026., uređaji moraju imati novi certifikat za Windows UEFI CA 2023 u firmveru prije isteka ili uređaj više neće moći primati ažuriranja sustava Windows, što ga stavlja u ranjivo sigurnosno stanje.
Informacije o primjeni ublažavanja 1 i ublažavanja 2 u dva zasebna koraka (ako želite biti oprezniji, barem na početku) potražite u članku KB5025885: Upravljanje opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932. Ili oba ublažavanja možete primijeniti pokretanjem sljedeće operacije jednog ključa registra kao administratora:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Kako se ublažavanja primjenjuju, bitovi u ključu AvailableUpdates bit će izbrisani. Nakon postavljanja na 0x140 i ponovno pokretanje, vrijednost će se promijeniti u 0x100 a zatim će se nakon drugog ponovnog pokretanja promijeniti u 0x000.
Ublažavanje upravitelja pokretanja neće se primijeniti dok programske opreme ne naznačuju da je ublažavanje certifikata 2023 uspješno primijenjeno. Te operacije nije moguće izvršiti izvan redoslijeda.
Kada se primjenjuju oba ublažavanja, ključ registra bit će postavljen tako da upućuje na to da je sustav "2023 sposoban", što znači da se medijski sadržaj može ažurirati i može se primijeniti Mitigation 3 i Mitigation 4.
U većini slučajeva, za dovršavanje ublažavanja 1 i ublažavanja 2 potrebna su najmanje dva ponovna pokretanja prije nego što se ublažavanja u potpunosti primjenjuju. Dodavanjem dodatnih ponovnih pokretanja u okruženju osigurat ćete da se ublažavanja primjenjuju ranije. Međutim, možda nije praktično umjetno ubrizgati dodatna ponovna pokretanja i može imati smisla imajte na umu da se mjesečna ponovna pokretanja koja se pojavljuju u sklopu primjene sigurnosnih ažuriranja. To znači manje ometanja u vašem okruženju, ali postoji rizik od duljeg vremena da se zaštitite.
Nakon implementacije ublažavanja 1 i ublažavanja 2 na svoje uređaje, trebali biste pratiti svoje uređaje kako biste bili sigurni da se primjenjuju ublažavanja i da su sada "2023 sposoban". Praćenje se može obaviti traženjem sljedećeg ključa registra u sustavu. Ako ključ postoji i postavljen je na 1, sustav je u varijablu secure boot DB dodao certifikat 2023. Ako ključ postoji i postavljen je na 2, sustav u bazi podataka ima certifikat 2023 i započinje s upraviteljem pokretanja potpisanim verzijom 2023.
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Naziv vrijednosti ključa |
WindowsUEFICA2023Capable |
|
|
Vrsta podataka |
REG_DWORD |
|
|
Podaci |
0 – ili ključ ne postoji – certifikat "Windows UEFI CA 2023" nije u DB-u 1 – certifikat "Windows UEFI CA 2023" nalazi se u DB-u 2 – Certifikat "Windows UEFI CA 2023" nalazi se u DB-u, a sustav počinje od upravitelja pokretanja potpisanog verzijom 2023. |
|
Ažuriranje medija za pokretanje
Nakon što se mitigation 1 i Mitigation 2 primjenjuju na vaše uređaje, možete ažurirati sve medije za pokretanje koje koristite u svom okruženju. Ažuriranje medija koji se može pokrenuti znači primjenu PCA2023 potpisanog upravitelja pokretanja na medij. To obuhvaća ažuriranje slika za pokretanje mreže (kao što su PxE i HTTP), ISO slike i USB pogoni. U suprotnom se uređaji s primijenjenim ublažavanjem neće pokrenuti s medija za pokretanje koji koriste stariji upravitelj pokretanja sustava Windows i 2011 CA.
Alati i upute za ažuriranje svake vrste medija za pokretanje dostupni su ovdje:
|
Vrsta medija |
Resurs |
|
ISO, USB pogoni i tako dalje |
|
|
PXE Boot Server |
Dokumentacija koja će se kasnije prikazati |
Tijekom postupka ažuriranja medijskih sadržaja trebali biste testirati medije pomoću uređaja na kojem su instalirana sva četiri ublažavanja. Posljednja dva ublažavanja blokirat će starije, ranjive upravitelje pokretanja. Medijski sadržaji s trenutnim upraviteljima pokretanja važan su dio dovršavanja tog procesa.
Napomena Budući da su napadi vraćanja na prijašnje postavke upravitelja pokretanja stvarnost i očekujemo da će se stalnim ažuriranjima upravitelja pokretanja sustava Windows riješiti sigurnosnim problemima, preporučujemo da velike tvrtke planiraju polu-redovita ažuriranja medija i da imaju procese koji će omogućiti jednostavno i manje vremena ažuriranja medijskih sadržaja. Naš je cilj ograničiti broj osvježavanja upravitelja pokretanja medija na najviše dva puta godišnje, ako je to moguće.
Medij za pokretanje ne obuhvaća sistemski pogon uređaja na kojem se Windows obično nalazi i pokreće automatski. Medij za pokretanje obično se koristi za pokretanje uređaja koji nema verziju sustava Windows za pokretanje, a medij za pokretanje često se koristi za instalaciju sustava Windows na uređaj.
Postavke UEFI sigurnog pokretanja određuju koje upravitelje pokretanja treba smatrati pouzdanima pomoću baze podataka sigurnog pokretanja (baze podataka potpisa) i DBX -a (baze podataka zabranjenih potpisa). Baza podataka sadrži ključeve i ključeve za pouzdani softver, a DBX pohranjuje opozvane, kompromitirane i nepou pouzdane ključeve i ključeve da bi se spriječilo pokretanje neovlaštenog ili zlonamjernog softvera tijekom postupka pokretanja.
Korisno je razmišljati o različitim stanjima u kojoj se uređaj može nalaziti i u kojem se mediju za pokretanje može koristiti s uređajem u svakom od tih stanja. U svim slučajevima, firmver određuje treba li ga smatrati pouzdanim upraviteljem pokretanja s kojima je predstavljen i, kada pokrene upravitelj pokretanja, firmver više ne konzultira DB i DBX. Bootable media can either use a 2011 CA signed boot manager or a 2023 CA signed boot manager but not both. U sljedećem se odjeljku opisuje u kojim se slučajevima uređaj može nalaziti, a u nekim je slučajevima moguće pokrenuti medijski sadržaj s uređaja.
Ti scenariji uređaja mogu pomoći prilikom izrade planova za implementaciju ublažavanja na svim uređajima.
Novi uređaji
Neki novi uređaji počeli su se otpremiti s predinstaliranim CA-ima iz 2011. i 2023. u programske opreme uređaja. Nisu svi proizvođači prešli na oba uređaja i možda su i dalje uređaji za isporuku s predinstaliranim ca-om iz 2011. godine.
-
Uređaji s CA-jem za 2011 i 2023 mogu pokrenuti medijske sadržaje koji obuhvaćaju upravitelj pokretanja s potpisom 2011 CA ili upravitelja pokretanja potpisanog za 2023 CA.
-
Uređaji s instaliranim samo 2011 CA mogu pokrenuti samo medij s upraviteljem pokretanja potpisanim ca-2011. Većina starijih medija obuhvaća 2011 CA potpisani boot manger.
Uređaji s ublažavanjima 1 i 2
Ti su uređaji unaprijed instalirani s ca-om za 2011., a primjenom ublažavanja 1 sada je instaliran CA 2023. Budući da ti uređaji smatraju da oba CA-a smatraju pouzdanima, ti uređaji mogu pokrenuti i medije s CA-om verzije 2011 i s potpisanim upraviteljem pokretanja verzije 2023.
Uređaji s ublažavanjima rizika 3 i 4
Ti uređaji imaju 2011 CA uključen u DBX i više neće smatrati pouzdanim medije s upraviteljem pokretanja potpisanim ca 2011. Uređaj s tom konfiguracijom pokreće medije samo s upraviteljem pokretanja potpisanim ca-om iz 2023. godine.
Ponovno postavljanje sigurnog pokretanja
Ako su postavke sigurnog pokretanja ponovno postavljene na zadane vrijednosti, sva ublažavanja koja su primijenjena na BAZU podataka (dodavanje 2023 CA) i DBX -a (nepouzdani CA 2011) možda više neće biti na mjestu. Ponašanje ovisi o zadanim postavkama firmvera.
DBX
Ako su ublažavanja 3 i/ili 4 primijenjena, a DBX je izbrisan, ca 2011 neće biti na POPISU DBX i i dalje će biti pouzdan. Ako se to dogodi, bit će potrebno ponovno primijeniti ublažavanja 3 i/ili 4.
DB
Ako DB sadrži CA 2023 i ukloni se ponovnim postavljanjem postavki sigurnog pokretanja na zadane postavke, sustav se možda neće pokrenuti ako se uređaj oslanja na upravitelj pokretanja potpisanog ca-2023. Ako se uređaj ne može pokrenuti, upotrijebite alat securebootrecovery.efi opisan u KB5025885: Kako upravljati opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932 da biste oporavili sustav.
Poništavanje PCA2011 i primjena broja sigurne verzije na DBX
-
Mitigation 3: Enable the revocation Poništava pouzdanost certifikata MICROSOFT Windows Production PCA 2011 dodavanjem u DBX sigurnog pokretanja firmvera. To će dovesti do toga da firmver ne smatra pouzdanim sve upravitelje pokretanja potpisane 2011 CA-om i sve medijske sadržaje koji se oslanjaju na upravitelja pokretanja potpisanog 2011. ca.
-
Mitigation 4: Apply the Secure Version Number update to the firmware Primjenjuje ažuriranje broja sigurne verzije (SVN) na DBX sigurnog pokretanja firmvera. Kada se pokrene upravitelj pokretanja potpisanog sustava 2023, izvodi samoprocjenju usporedbom SVN-a pohranjenog u firmveru sa SVN-om ugrađenim u upravitelj pokretanja. Ako je upravitelj pokretanja SVN manji od SVN opreme, upravitelj pokretanja neće se pokrenuti. Ova značajka sprječava napadača da vrati upravitelja pokretanja na stariju verziju koja nije ažurirana. Za buduća sigurnosna ažuriranja upravitelja pokretanja, SVN će se povećati, a Mitigation 4 morat će se ponovno unijeti.
Važno Mitigation 1 and Mitigation 2 must be completed before applying Mitigation 3 and Mitigation 4.
Informacije o primjeni ublažavanja 3 i ublažavanja 4 u dva zasebna koraka (ako želite biti oprezniji, barem na početku) potražite u članku KB5025885: Kako upravljati opozivima upravitelja pokretanja sustava Windows za promjene sigurnog pokretanja povezane s CVE-2023-24932 Ili oba ublažavanja možete primijeniti pokretanjem sljedeće operacije jednog ključa registra kao administratora:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Da biste dovršili operaciju, obje će mjere ublažavanja biti potrebne samo jednom ponovnom pokretanju.
-
Ublažavanje 3: Popis opoziva možete provjeriti je li uspješno primijenjen tako da potražite ID događaja: 1037 u zapisniku događaja, po KB5016061: događaji ažuriranja baze podataka za sigurno pokretanje i DBX varijabli.Možete i pokrenuti sljedeću naredbu komponente PowerShell kao administrator i provjerite vraća li true:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Ublažavanje 4: Metoda za potvrdu da je primijenjena postavka SVN još ne postoji. Taj će se odjeljak ažurirati kada rješenje bude dostupno.
Reference
KB5016061: događaji ažuriranja secure boot DB i DBX varijabli
