Eredeti közzététel dátuma: 2025. február 13., csütörtök
TUDÁSBÁZIS AZONOSÍTÓJA: 5053946
Ismertető
Ez a dokumentum a CVE-2023-24932 által nagyvállalati környezetekben nyomon követett BlackLotus UEFI bootkitet használó, nyilvánosan közzétett biztonságos rendszerindítási biztonsági szolgáltatás megkerülésével szembeni védelem üzembe helyezését ismerteti.
A fennakadások elkerülése érdekében a Microsoft nem tervezi ezeket a kockázatcsökkentéseket a nagyvállalatoknál üzembe helyezni, de ez az útmutató segítséget nyújt a vállalatoknak a kockázatcsökkentések magukban történő alkalmazásában. Ez lehetővé teszi a vállalatok számára az üzembe helyezési terv és az üzemelő példányok időzítésének ellenőrzését.
Első lépések
Az üzembe helyezést több lépésre osztottuk, amelyek a szervezet számára megfelelő idővonalon érhetők el. Ismerkedjen meg ezekkel a lépésekkel. Ha már jól ismeri a lépéseket, gondolja át, hogyan fognak működni a környezetében, és készítse elő a vállalata számára az idővonalon működő üzembehelyezési terveket.
Az új Windows UEFI CA 2023 tanúsítvány hozzáadása és a Microsoft Windows production PCA 2011 tanúsítvány megbízhatóságának hiánya az eszköz belső vezérlőprogramjának együttműködését igényli. Mivel az eszközhardver és a belső vezérlőprogram nagy kombinációja létezik, és a Microsoft nem tudja tesztelni az összes kombinációt, javasoljuk, hogy széles körű üzembe helyezés előtt tesztelje a reprezentatív eszközöket a környezetben. Javasoljuk, hogy tesztelje a szervezetben használt minden egyes típusból legalább egy eszközt. Néhány ismert eszközproblémát, amely blokkolja ezeket a kockázatcsökkentéseket, a következő KB5025885 részeként dokumentáljuk: A Windows rendszerindítás-kezelő visszavonásainak kezelése a CVE-2023-24932-höz társított biztonságos rendszerindítási módosításokhoz. Ha olyan belső vezérlőprogrammal kapcsolatos problémát észlel, amely nem szerepel az Ismert problémák szakaszban, a probléma megoldásához forduljon az OEM-gyártóhoz.
Mivel ez a dokumentum több különböző tanúsítványra hivatkozik, az egyszerű hivatkozás és az egyértelműség érdekében az alábbi táblázatban láthatók:
|
Régi, 2011-ben alkalmazott hitelesítésszolgáltatók |
Új, 2023-ra szóló ca-k (lejárat: 2038) |
Funkció |
|
Microsoft Corporation KEK CA 2011 (2026 júliusában lejár) |
Microsoft Corporation KEK CA 2023 |
Adatbázis- és DBX-frissítések aláírása |
|
Microsoft Windows Production PCA 2011 (PCA2011) (2026 októberében lejár) |
Windows UEFI CA 2023 (PCA2023) |
Windows bootloader aláírása |
|
Microsoft Corporation UEFI CA 2011 (2026 júliusában lejár) |
Microsoft UEFI CA 2023 és Microsoft Option ROM UEFI CA 2023 |
Harmadik féltől származó rendszertöltők és beállítási ROM-k aláírása |
Fontos Az eszközök kockázatcsökkentéssel való tesztelése előtt mindenképpen alkalmazza a legújabb biztonsági frissítéseket a tesztgépekre.
Megjegyzés Az eszköz belső vezérlőprogramjának tesztelése során olyan problémák merülhetnek fel, amelyek megakadályozzák a biztonságos rendszerindítási frissítések megfelelő működését. Ehhez szükség lehet a gyártótól (OEM) származó frissített belső vezérlőprogram beszerzésére, valamint a belső vezérlőprogram frissítésére az érintett eszközökön a felderített problémák elhárítása érdekében.
A CVE-2023-24932-ben ismertetett támadások elleni védelemhez négy kockázatcsökkentést kell alkalmazni:
-
1. kockázatcsökkentés: A frissített tanúsítványdefiníció (PCA2023) telepítése az adatbázisba
-
2. kockázatcsökkentés:A rendszerindítás-kezelő frissítése az eszközön
-
3. kockázatcsökkentés:Visszavonás engedélyezése (PCA2011)
-
4. kockázatcsökkentés:Az SVN-frissítés alkalmazása a belső vezérlőprogramra
Ez a négy kockázatcsökkentés manuálisan alkalmazható az egyes teszteszközökre a KB5025885 : A Windows rendszerindítás-kezelő CVE-2023-24932-höz kapcsolódó biztonságos rendszerindítási módosításainak kezelésével kapcsolatos útmutatást követve, vagy a jelen dokumentumban található útmutatást követve. Mind a négy kockázatcsökkentés a belső vezérlőprogramra támaszkodik a megfelelő működéshez.
Az alábbi kockázatok megértése segít a tervezési folyamat során.
Belső vezérlőprogrammal kapcsolatos problémák:Minden eszköz rendelkezik az eszköz gyártója által biztosított belső vezérlőprogrammal. Az ebben a dokumentumban leírt üzembehelyezési műveletekhez a belső vezérlőprogramnak képesnek kell lennie a Secure Boot DB (Signature Database) és a DBX (Tiltott aláírási adatbázis) frissítéseinek elfogadására és feldolgozására. Emellett a belső vezérlőprogram felelős az aláírás vagy a rendszerindító alkalmazások, köztük a Windows rendszerindítás-kezelője érvényesítéséért. Az eszköz belső vezérlőprogramja szoftver, és mint minden szoftver, hibákat is okozhat, ezért fontos, hogy a széles körű üzembe helyezés előtt tesztelje ezeket a műveleteket.A Microsoft számos eszköz-/belsővezérlőprogram-kombinációt tesztel, kezdve a Microsoft tesztkörnyezeteinek és irodáinak eszközeivel, és a Microsoft az oem-ekkel együttműködve teszteli az eszközeit. Szinte az összes tesztelt eszköz probléma nélkül átment. Néhány esetben problémákat tapasztaltunk azzal kapcsolatban, hogy a belső vezérlőprogram nem megfelelően kezeli a frissítéseket, és az oem-ekkel együtt dolgozunk azon, hogy megoldjuk azokat a problémákat, amelyekről tudomásunk van.
Megjegyzés Az eszköz tesztelése során, ha belső vezérlőprogrammal kapcsolatos problémát észlel, javasoljuk, hogy a probléma megoldásához működjön együtt az eszköz gyártójával/oem-jével. Keresse meg az 1795-ös eseményazonosítót az eseménynaplóban. A biztonságos rendszerindítási eseményekkel kapcsolatos további részletekért lásd: KB5016061: Secure Boot DB és DBX változófrissítési események .
Adathordozó telepítése:A jelen dokumentum későbbi részében ismertetett Mitigation 3 és Mitigation 4 alkalmazásával a meglévő Windows telepítési adathordozók nem lesznek elindíthatók, amíg az adathordozó nem rendelkezik frissített rendszertöltés-kezelővel. Az ebben a dokumentumban ismertetett kockázatcsökkentések megakadályozzák a régi, sebezhető rendszerindítás-kezelők futását azáltal, hogy nem bíznak bennük a belső vezérlőprogramban. Ez megakadályozza, hogy a támadó visszaállítsa a rendszerindítás-kezelőt egy korábbi verzióra, és kihasználja a régebbi verziókban található biztonsági réseket. Ezeknek a sebezhető rendszerindítás-kezelőknek a blokkolása nincs hatással a futó rendszerre. Ez azonban megakadályozza, hogy minden rendszerindító adathordozó elinduljon, amíg az adathordozó rendszerindítás-kezelői nem frissülnek. Ide tartoznak az ISO-lemezképek, a rendszerindító USB-meghajtók és a hálózati rendszerindítás (PxE- és HTTP-rendszerindítás).
Frissítés PCA2023 és az új rendszerindítás-kezelőre
-
1. kockázatcsökkentés: A frissített tanúsítványdefiníciók telepítése az adatbázisba Hozzáadja az új Windows UEFI CA 2023-tanúsítványt az UEFI Biztonságos rendszerindítási aláírási adatbázishoz (DB). Ha hozzáadja ezt a tanúsítványt az adatbázishoz, az eszköz belső vezérlőprogramja megbízik a tanúsítvány által aláírt Microsoft Windows rendszerindító alkalmazásokban.
-
2. kockázatcsökkentés: A rendszerindítás-kezelő frissítése az eszközön Az új Windows UEFI CA 2023 tanúsítvánnyal aláírt új Windows rendszerindítás-kezelőt alkalmazza.
Ezek a kockázatcsökkentések fontosak a Windows hosszú távú szervizelhetősége szempontjából ezeken az eszközökön. Mivel a belső vezérlőprogramban a Microsoft Windows production PCA 2011 tanúsítványa 2026 októberében lejár, az eszközöknek a lejárat előtt rendelkezniük kell az új Windows UEFI CA 2023-tanúsítvánnyal a belső vezérlőprogramban, különben az eszköz nem fogja tudni fogadni a Windows-frissítéseket, és sebezhető biztonsági állapotba kell helyeznie.
Az 1. kockázatcsökkentés és a 2. kockázatcsökkentés két külön lépésben történő alkalmazásáról (ha óvatosabb szeretne lenni, legalább először) lásd : KB5025885: A Windows rendszerindítás-kezelő visszavonásainak kezelése a CVE-2023-24932-höz társított biztonságos rendszerindítási módosításokhoz. Vagy mindkét kockázatcsökkentést alkalmazhatja a következő egyetlen beállításkulcs-művelet rendszergazdaként való futtatásával:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
A kockázatcsökkentések alkalmazásával az AvailableUpdates kulcs bitjei törlődnek. A 0x140 és újraindítás után az érték 0x100 értékre változik, majd egy újabb újraindítás után 0x000 értékre változik.
A rendszerindítás-kezelő kockázatcsökkentése addig nem lesz alkalmazva, amíg a belső vezérlőprogram nem jelzi, hogy a 2023-ra vonatkozó tanúsítványcsökkentés sikeresen alkalmazva van. Ezek a műveletek nem hajthatók végre sorrenden kívül.
Mindkét kockázatcsökkentés alkalmazásakor egy beállításkulcs lesz beállítva, amely jelzi, hogy a rendszer "2023-ra képes", ami azt jelenti, hogy az adathordozó frissíthető, és alkalmazható a 3. kockázatcsökkentés és a 4. kockázatcsökkentés.
A legtöbb esetben az 1. és a 2. kockázatcsökkentés végrehajtása legalább két újraindítást igényel a kockázatcsökkentések teljes alkalmazása előtt. Ha további újraindításokat ad hozzá a környezetéhez, azzal biztosíthatja, hogy a kockázatcsökkentések hamarabb legyenek alkalmazva. Előfordulhat azonban, hogy nem praktikus további újraindításokat mesterségesen injektálni, és érdemes lehet a biztonsági frissítések alkalmazásának részeként előforduló havi újraindításokra támaszkodni. Ez kevesebb fennakadást jelent a környezetben, de fennáll a veszélye annak, hogy a biztonság érdekében hosszabb időt vesz igénybe.
Miután telepítette az 1. kockázatcsökkentést és a 2. kockázatcsökkentést az eszközeire, figyelnie kell az eszközöket, hogy meggyőződjön arról, hogy alkalmazva vannak a kockázatcsökkentések, és most már "2023-ra képesek". A monitorozáshoz keresse meg a következő beállításkulcsot a rendszeren. Ha a kulcs létezik, és az értéke 1, akkor a rendszer hozzáadta a 2023-tanúsítványt a Biztonságos rendszerindítási adatbázis változóhoz. Ha a kulcs létezik, és a értéke 2, akkor a rendszer a 2023-at tartalmazó tanúsítványt tartalmazza az adatbázisban, és a 2023-ban aláírt rendszerindítás-kezelővel kezdődik.
|
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Kulcsérték neve |
WindowsUEFICA2023Capable |
|
|
Adattípus |
REG_DWORD |
|
|
Adat |
0 – vagy a kulcs nem létezik – a "Windows UEFI CA 2023" tanúsítvány nem szerepel az adatbázisban 1 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található 2 – A "Windows UEFI CA 2023" tanúsítvány az adatbázisban található, és a rendszer a 2023-ban aláírt rendszerindítás-kezelőtől indul. |
|
Rendszerindító adathordozó frissítése
Miután alkalmazta az 1. kockázatcsökkentést és a 2. kockázatcsökkentést az eszközeire, frissítheti a környezetben használt rendszerindító adathordozókat. A rendszerindító adathordozó frissítése azt jelenti, hogy a PCA2023 aláírt rendszerindítás-kezelőt alkalmazza az adathordozóra. Ez magában foglalja a hálózati rendszerindító lemezképek (például a PxE és a HTTP), az ISO-lemezképek és az USB-meghajtók frissítését. Ellenkező esetben az alkalmazott kockázatcsökkentéssel rendelkező eszközök nem indulnak el a régebbi Windows rendszerindítás-kezelőt és 2011 hitelesítésszolgáltatót használó rendszerindító adathordozóról.
Az egyes rendszerindító adathordozók frissítésével kapcsolatos eszközök és útmutatók itt érhetők el:
|
Médiatípus |
Erőforrás |
|
ISO, USB-meghajtók stb. |
|
|
PXE rendszerindító kiszolgáló |
Később benyújtandó dokumentáció |
A médiafrissítési folyamat során mindenképpen tesztelje az adathordozót egy olyan eszközzel, amely mind a négy megoldással rendelkezik. Az utolsó két kockázatcsökkentés letiltja a régebbi, sebezhető rendszerindítás-kezelőket. A folyamat végrehajtásának fontos része, hogy a jelenlegi rendszerindítás-kezelőkkel rendelkező adathordozót használja.
Megjegyzés Mivel a rendszerindítás-kezelő visszaállítási támadásai valósak, és a Windows rendszerindítás-kezelő folyamatos frissítéseit várjuk a biztonsági problémák megoldásához, javasoljuk, hogy a vállalatok tervezze meg a félig rendszeres médiafrissítéseket, és rendelkezzenek olyan folyamatokkal, amelyek megkönnyítik és csökkentik az időigényes médiafrissítéseket. Célunk, hogy a media boot manager frissítéseinek számát évente legfeljebb két alkalomra korlátozzuk, ha lehetséges.
A rendszerindító adathordozó nem tartalmazza azt az eszközrendszer-meghajtót, ahol a Windows általában található, és automatikusan elindul. A rendszerindító adathordozót gyakran használják olyan eszközök rendszerindítására, amelyek nem rendelkeznek a Windows rendszerindító verziójával, és a rendszerindító adathordozót gyakran használják a Windows telepítéséhez az eszközön.
Az UEFI biztonságos rendszerindítási beállításai határozzák meg, hogy mely rendszerindítás-kezelők megbízhatók a Secure Boot DB (Signature Database) és a DBX (Tiltott aláírási adatbázis) használatával. Az adatbázis tartalmazza a megbízható szoftverek kivonatait és kulcsait, a DBX pedig visszavont, feltört és nem megbízható kivonatokat és kulcsokat tárol, hogy megakadályozza a jogosulatlan vagy rosszindulatú szoftverek futtatását a rendszerindítási folyamat során.
Hasznos lehet átgondolni, hogy az eszköz milyen állapotban lehet, és milyen rendszerindító adathordozó használható az eszközzel az egyes állapotokban. A belső vezérlőprogram minden esetben meghatározza, hogy megbízik-e abban a rendszerindítás-kezelőben, amelyet bemutat, és a rendszerindítás-kezelő futtatása után a belső vezérlőprogram már nem tekinti át az adatbázist és a DBX-et. A rendszerindító adathordozók 2011 hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt vagy 2023 hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt használhatnak, de mindkettőt nem. A következő szakasz azt ismerteti, hogy az eszköz milyen állapotban lehet, és bizonyos esetekben milyen adathordozó indítható el az eszközről.
Ezek az eszközforgatókönyvek segíthetnek a kockázatcsökkentések az eszközökön való üzembe helyezésére vonatkozó tervek elkészítésében.
Új eszközök
Egyes új eszközök a 2011-es és a 2023-as hitelesítésszolgáltatókkal együtt már előre telepítve vannak az eszköz belső vezérlőprogramjában. Nem minden gyártó váltott át mindkettőre, és továbbra is csak a 2011-ben előre telepített hitelesítésszolgáltatóval rendelkező eszközöket szállíthatja.
-
A 2011-ben és a 2023-ben is hitelesítésszolgáltatóval rendelkező eszközök elindíthatnak olyan adathordozót, amely tartalmazza a 2011-ben aláírt hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt vagy a 2023 hitelesítésszolgáltató által aláírt rendszerindítás-kezelőt.
-
A csak a 2011-ben telepített hitelesítésszolgáltatóval rendelkező eszközök csak a 2011-ben aláírt hitelesítésszolgáltató által aláírt rendszerindítási kezelővel indíthatnak adathordozót. A legtöbb régebbi adathordozón megtalálható a 2011-ben hitelesítésszolgáltató által aláírt rendszerindítási kezelő.
1. és 2. kockázatcsökkentéssel rendelkező eszközök
Ezeket az eszközöket előre telepítették a 2011-beli hitelesítésszolgáltatóval, és az 1. kockázatcsökkentés alkalmazásával most már telepítve van a 2023-os hitelesítésszolgáltató. Mivel ezek az eszközök mindkét hitelesítésszolgáltatóban megbíznak, ezek az eszközök a 2011-ben hitelesítésszolgáltatóval és a 2023-ra aláírt rendszerindítás-kezelővel is elindíthatják az adathordozót.
3. és 4. kockázatcsökkentéssel rendelkező eszközök
Ezek az eszközök tartalmazzák a 2011-ben elérhető hitelesítésszolgáltatót a DBX-ben, és a továbbiakban nem bíznak meg az adathordozóban a 2011-ben aláírt hitelesítésszolgáltató által aláírt rendszerindítás-kezelővel. Az ezzel a konfigurációval rendelkező eszközök csak a 2023-ra aláírt hitelesítésszolgáltató által aláírt rendszerindítás-kezelővel indítják el az adathordozót.
Biztonságos rendszerindítás alaphelyzetbe állítása
Ha a biztonságos rendszerindítási beállításokat visszaállították az alapértelmezett értékekre, előfordulhat, hogy az adatbázisra (a 2023-at hozzáadva) és a DBX-hez (a 2011-ben nem megbízható) alkalmazott kockázatcsökkentések már nem lesznek érvényben. A viselkedés az alapértelmezett belső vezérlőprogramtól függ.
DBX
Ha a 3. és/vagy a 4. kockázatcsökkentést alkalmazták, és a DBX nincs törölve, akkor a 2011-beli hitelesítésszolgáltató nem szerepel a DBX listán, és továbbra is megbízható. Ha ez történik, a 3. és/vagy a 4. kockázatcsökkentés újraalkalmazása szükséges lesz.
DB
Ha az adatbázis tartalmazza a 2023-at, és a biztonságos rendszerindítási beállítások alapértelmezett értékre állításával eltávolítja, előfordulhat, hogy a rendszer nem indul el, ha az eszköz a 2023-ra aláírt hitelesítésszolgáltatói rendszerindítás-kezelőre támaszkodik. Ha az eszköz nem indul el, használja a KB5025885: A rendszer helyreállításához a CVE-2023-24932-höz társított biztonságos rendszerindítási módosítások Windows rendszerindítás-kezelői visszavonásainak kezelése című szakaszban leírt securebootrecovery.efi eszközt.
Nem megbízható PCA2011 és alkalmazza a biztonságos verziószámot a DBX-ben
-
3. kockázatcsökkentés: A visszavonás engedélyezése Nem megbízható a Microsoft Windows production PCA 2011 tanúsítványa, ha hozzáadja a Secure Boot DBX belső vezérlőprogramhoz. Ez azt eredményezi, hogy a belső vezérlőprogram nem bízik meg a 2011 hitelesítésszolgáltató által aláírt rendszerindítás-kezelőkben és a 2011-ben aláírt hitelesítésszolgáltató által aláírt rendszerindítás-kezelőre támaszkodó adathordozókban.
-
4. kockázatcsökkentés: A biztonságos verziószám frissítésének alkalmazása a belső vezérlőprogramra Alkalmazza a Secure Version Number (SVN) frissítést a Secure Boot DBX belső vezérlőprogramjaira. Amikor egy 2023-as aláírású rendszerindítás-kezelő elindul, önellenőrzést végez a belső vezérlőprogramban tárolt SVN és a rendszerindítás-kezelőbe beépített SVN összehasonlításával. Ha a rendszerindítás-kezelő SVN-je alacsonyabb a belső vezérlőprogram SVN-énél, a rendszerindítás-kezelő nem fog futni. Ez a funkció megakadályozza, hogy a támadó visszaállítsa a rendszerindítás-kezelőt egy régebbi, nem frissített verzióra. A rendszerindítás-kezelő jövőbeli biztonsági frissítéseihez az SVN növekszik, és a 4. kockázatcsökkentést újra kell alkalmazni.
Fontos A 3. kockázatcsökkentés és a 4. kockázatcsökkentés alkalmazása előtt el kell végezni az 1. és a 2. kockázatcsökkentést.
A 3. kockázatcsökkentés és a 4. kockázatcsökkentés két külön lépésben történő alkalmazásával kapcsolatos információkért (ha óvatosabb szeretne lenni, legalább először) lásd : KB5025885: A Windows rendszerindítás-kezelő visszavonásainak kezelése a CVE-2023-24932-höz társított biztonságos rendszerindítási módosításokhoz Vagy mindkét kockázatcsökkentést a következő egyetlen beállításkulcs-művelet rendszergazdaként történő futtatásával alkalmazhatja:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Mindkét kockázatcsökkentés együttes alkalmazása csak egy újraindítást igényel a művelet befejezéséhez.
-
3. kockázatcsökkentés: A visszavonási lista sikeres alkalmazásának ellenőrzéséhez keresse meg az eseménynaplóban a 1037-et , KB5016061: Secure Boot DB és DBX változófrissítési eseményeket.Másik lehetőségként futtathatja a következő PowerShell-parancsot rendszergazdaként, és győződjön meg arról, hogy az Igaz értéket adja vissza:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
4. kockázatcsökkentés: Az SVN-beállítás alkalmazásának megerősítésére használható metódus még nem létezik. Ez a szakasz akkor frissül, ha rendelkezésre áll egy megoldás.
Referenciák
KB5016061: Biztonságos rendszerindítási adatbázis és DBX változófrissítési események
