Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Pendahuluan

Microsoft menyadari kerentanan dengan manajer boot Windows yang memungkinkan penyerang untuk melewati Secure Boot. Masalah di manajer boot telah diperbaiki dan dirilis sebagai pembaruan keamanan. Kelemahan yang tersisa adalah bahwa penyerang dengan hak istimewa administratif atau akses fisik ke perangkat dapat mengembalikan manajer boot ke versi tanpa perbaikan keamanan. Kerentanan roll-back ini sedang digunakan oleh malware BlackLotus untuk melewati Secure Boot yang dijelaskan oleh CVE-2023-24932. Untuk mengatasi masalah ini, kami akan mencabut pengelola boot yang rentan.

Karena banyaknya manajer boot yang harus diblokir, kami menggunakan cara alternatif untuk memblokir manajer boot. Hal ini memengaruhi sistem operasi non-Windows karena perbaikan harus disediakan pada sistem tersebut untuk memblokir manajer boot Windows agar tidak digunakan sebagai vektor serangan pada sistem operasi non-Windows.

Informasi selengkapnya

Salah satu metode memblokir biner aplikasi EFI yang rentan dimuat oleh firmware adalah dengan menambahkan hash aplikasi rentan ke Daftar Terlarang UEFI (DBX). Daftar DBX disimpan di perangkat yang dikelola firmware flash. Batasan metode pemblokiran ini adalah terbatasnya firmware flash memory yang tersedia untuk menyimpan DBX. Karena keterbatasan ini dan banyaknya manajer boot yang harus diblokir (manajer boot Windows dari 10+ tahun terakhir), mengandalkan sepenuhnya pada DBX untuk masalah ini tidak dimungkinkan.

Untuk masalah ini, kami telah memilih metode hibrid untuk memblokir manajer boot yang rentan. Hanya beberapa manajer boot yang dirilis di versi Windows yang lebih lama yang akan ditambahkan ke DBX. Untuk versi Windows 10 dan yang lebih baru, kebijakan Kontrol Aplikasi (WDAC) Pertahanan Windows akan digunakan yang memblokir manajer boot Windows yang rentan. Ketika kebijakan diterapkan ke sistem Windows, manajer boot akan "mengunci" kebijakan ke sistem dengan menambahkan variabel ke firmware UEFI. Manajer boot Windows akan menghormati kebijakan dan kunci UEFI. Jika kunci UEFI di tempat dan kebijakan telah dihapus, manajer boot Windows tidak akan dimulai. Jika kebijakan diberlakukan, manajer boot tidak akan memulai jika telah diblokir oleh kebijakan.

Panduan untuk memblokir manajer boot Windows yang rentan

CATATAN Pengguna harus diberi opsi untuk menerapkan variabel sehingga mereka dapat mengontrol kapan mereka dilindungi.

Mengaktifkan kunci UEFI akan menyebabkan media Windows bootable yang sudah ada berhenti booting hingga media diperbarui dengan pembaruan Windows yang dirilis pada atau setelah 9 Mei 2023. Panduan untuk memperbarui media dapat ditemukan di KB5025885: Cara mengelola pencabutan Windows Boot Manager untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932.

  • Untuk sistem aktif Boot Aman yang hanya booting sistem

    operasi non-Windows Untuk sistem yang hanya memulai sistem operasi non-Windows dan tidak akan pernah memulai Windows, mitigasi ini dapat segera diterapkan ke sistem.

  • Untuk sistem dual booting Windows dan sistem

    operasi lain Untuk sistem yang memulai Windows, mitigasi non-Windows hanya boleh diterapkan setelah sistem operasi Windows diperbarui ke pembaruan Windows yang dirilis pada atau setelah 9 Mei 2023.

Membuat Kunci UEFI

Kunci UEFI memiliki dua variabel yang diperlukan untuk mencegah serangan rollback di manajer boot Windows. Variabel ini adalah sebagai berikut:

  • Atribut SKU SiPolicy

    Kebijakan ini memiliki atribut berikut:

    • ID Tipe Kebijakan:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Nama file tertentu dari "SkuSiPolicy.p7b"

    • Lokasi fisik tertentu dari EFI\Microsoft\Boot

    Seperti semua kebijakan WDAC yang ditandatangani, Kebijakan SKU yang ditandatangani dilindungi oleh dua variabel UEFI:

    • SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"

  • Variabel

    SKU SiPolicy Kebijakan ini menggunakan dua variabel UEFI yang disimpan di bawah EFI Namespace/Vendor
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};

    • SkuSiPolicyVersion

      • adalah tipe ULONGLONG/UInt64 pada runtime

      • ditentukan oleh <VersionEx>2.0.0.2</VersionEx> dalam xml kebijakan dalam bentuk (MAJOR. KECIL. REVISI. BUILDNUMBER)

      • Diterjemahkan ke dalam ULONGLONG sebagai

        ((major##ULL << 48) + (minor##ULL << 32) + (revisi##ULL << 16) + buildnumber)

        Setiap nomor versi memiliki 16 bit, sehingga memiliki total 64 bit.

      • Versi kebijakan yang lebih baru harus sama atau lebih besar dari versi yang disimpan dalam variabel UEFI pada runtime.

      • Deskripsi: Mengatur versi kebijakan boot integritas kode.

      • Atribut:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Namespace Guid:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Tipe data:

        uint8_t[8]

      • Data:

        uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };

    • SkuSiPolicyUpdateSigners

      • Harus penanda tangan Windows.

      • Deskripsi: Informasi penanda tangan kebijakan.

      • Atribut:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Namespace Guid:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Tipe data:

        uint8_t[131]

      • Data:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,

              0x00, 0x00, 0x00};

Menerapkan DBX

Kami telah merilis file DbxUpdate.bin untuk masalah ini pada UEFI.org. Hash ini mencakup semua manajer boot Windows yang dicabut yang dirilis antara Windows 8 dan rilis awal Windows 10 yang tidak menghormati Kebijakan Integritas Kode.

Sangat penting bahwa ini diterapkan dengan hati-hati karena risiko bahwa mereka dapat merusak sistem boot ganda yang menggunakan beberapa sistem operasi dan salah satu dari manajer boot ini. Dalam jangka pendek, kami menyarankan agar untuk sistem apa pun, hash ini diterapkan secara opsional.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×