Panduan Penyebaran Perusahaan untuk CVE-2023-24932

Kami telah membagi penyebaran menjadi beberapa langkah yang dapat dicapai pada garis waktu yang sesuai untuk organisasi Anda. Anda harus membiasakan diri dengan langkah-langkah ini. Setelah anda memiliki pemahaman yang baik tentang langkah-langkah, Anda harus mempertimbangkan bagaimana mereka akan bekerja di lingkungan Anda dan menyiapkan rencana penyebaran yang bekerja untuk perusahaan Anda di linimasa Anda.

Menambahkan sertifikat Windows UEFI CA 2023 baru dan tidak tepercaya sertifikat Microsoft Windows Production PCA 2011 memerlukan kerja sama dari firmware perangkat. Karena ada kombinasi besar perangkat keras dan firmware perangkat, dan Microsoft tidak dapat menguji semua kombinasi, kami mendorong Anda untuk menguji perangkat yang representatif di lingkungan Anda sebelum menyebarkan secara luas. Kami menyarankan Agar Anda menguji setidaknya satu perangkat dari setiap tipe yang digunakan di organisasi Anda. Beberapa masalah perangkat yang diketahui yang akan memblokir mitigasi ini didokumentasikan sebagai bagian dari KB5025885: Cara mengelola pencabutan manajer boot Windows untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932. Jika Anda mendeteksi masalah firmware perangkat yang tidak tercantum di bagian Masalah Umum , bekerja dengan vendor OEM Anda untuk mengatasi masalah tersebut.

Karena dokumen ini mereferensikan beberapa sertifikat yang berbeda, dokumen ini disajikan dalam tabel berikut ini untuk kemudahan referensi dan kejelasan:

CAS lama 2011	CAs 2023 baru (kedaluwarsa pada tahun 2038)	Fungsi
Microsoft Corporation KEK CA 2011 (kedaluwarsa pada Juli 2026)	Microsoft Corporation KEK CA 2023	Tanda tangani pembaruan DB dan DBX
Microsoft Windows Production PCA 2011 (PCA2011) (kedaluwarsa pada Oktober 2026)	Windows UEFI CA 2023 (PCA2023)	Menandatangani bootloader Windows
Microsoft Corporation UEFI CA 2011 (kedaluwarsa pada Juli 2026)	Microsoft UEFI CA 2023 dan Microsoft Option ROM UEFI CA 2023	Menandatangani bootloader pihak ketiga dan ROM opsi

Ada empat mitigasi yang harus diterapkan untuk melindungi terhadap serangan yang dijelaskan dalam CVE-2023-24932:

• Mitigasi 1: Menginstal definisi sertifikat yang diperbarui (PCA2023) ke DB

• Mitigasi 2:Perbarui manajer boot di perangkat Anda

• Mitigasi 3:Aktifkan pencabutan (PCA2011)

• Mitigasi 4:Menerapkan pembaruan SVN ke firmware

Keempat mitigasi ini dapat diterapkan secara manual untuk setiap perangkat uji mengikuti panduan yang dijelaskan dalam panduan penyebaran MitigasiKB5025885: Cara mengelola pencabutan manajer boot Windows untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932, atau dengan mengikuti panduan dalam dokumen ini. Keempat mitigasi mengandalkan firmware untuk beroperasi dengan benar.

Memahami risiko berikut ini akan membantu Anda selama proses perencanaan.

Masalah firmware:Setiap perangkat memiliki firmware yang disediakan oleh produsen perangkat. Untuk operasi penyebaran yang dijelaskan dalam dokumen ini, firmware harus dapat menerima dan memproses pembaruan untuk Secure Boot DB (Database Tanda Tangan) dan DBX (Database Tanda Tangan Terlarang). Selain itu, firmware bertanggung jawab untuk memvalidasi aplikasi boot atau tanda tangan, termasuk manajer boot Windows. Firmware perangkat adalah perangkat lunak dan, seperti perangkat lunak apa pun, mungkin mengalami cacat, itulah sebabnya penting untuk menguji operasi ini sebelum menyebarkan secara luas.

Microsoft telah terus menguji banyak kombinasi perangkat/firmware, dimulai dengan perangkat di dalam laboratorium dan kantor Microsoft, dan Microsoft bekerja dengan OEM untuk menguji perangkat mereka. Hampir semua perangkat yang diuji telah lulus tanpa masalah. Dalam beberapa kasus, kami telah melihat masalah dengan firmware yang tidak menangani pembaruan dengan benar dan kami bekerja dengan OEM untuk mengatasi masalah yang kami ketahui.

Instal Media:Dengan menerapkan Mitigation 3 dan Mitigation 4 yang dijelaskan selanjutnya dalam dokumen ini, media penginstalan Windows yang sudah ada tidak akan lagi dapat di-boot hingga media memiliki boot manager yang diperbarui. Mitigasi yang diuraikan dalam dokumen ini mencegah pengelola boot yang lama dan rentan berjalan dengan tidak tepercaya di firmware. Ini mencegah penyerang mengembalikan manajer boot sistem ke versi sebelumnya dan mengeksploitasi kerentanan yang ada dalam versi lama. Memblokir manajer boot yang rentan ini seharusnya tidak berdampak pada sistem yang berjalan. Namun, ini akan mencegah media yang dapat di-boot dimulai hingga manajer boot di media diperbarui. Ini termasuk gambar ISO, drive USB yang dapat di-boot, dan Boot jaringan (boot PxE dan HTTP).

• Mitigasi 1: Menginstal definisi sertifikat yang diperbarui ke DB
  
  Menambahkan sertifikat Windows UEFI CA 2023 baru ke Database Tanda Tangan Boot Aman (DB) UEFI. Dengan menambahkan sertifikat ini ke DB, firmware perangkat akan mempercayai aplikasi boot Microsoft Windows yang ditandatangani oleh sertifikat ini.

• Mitigasi 2: Memperbarui pengelola boot di perangkat
  
  Anda Menerapkan manajer boot Windows baru yang ditandatangani dengan sertifikat Windows UEFI CA 2023 yang baru.

Mitigasi ini penting untuk kemudahan servis jangka panjang Windows di perangkat ini. Karena sertifikat Microsoft Windows Production PCA 2011 di firmware akan kedaluwarsa pada Oktober 2026, perangkat harus memiliki sertifikat Windows UEFI CA 2023 baru di firmware sebelum kedaluwarsa atau perangkat tidak akan lagi dapat menerima pembaruan Windows, meletakkannya dalam status keamanan yang rentan.

Untuk informasi tentang cara menerapkan Mitigasi 1 dan Mitigasi 2 dalam dua langkah terpisah (jika Anda ingin lebih berhati-hati, setidaknya pada awalnya) lihat KB5025885: Cara mengelola pencabutan manajer boot Windows untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932. Atau Anda bisa menerapkan kedua mitigasi dengan menjalankan operasi kunci registri tunggal berikut ini sebagai administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f

Saat mitigasi diterapkan, bit dalam kunci AvailableUpdates akan dikosongkan. Setelah mengaturnya ke 0x140 dan memulai ulang, nilai akan berubah menjadi 0x100 lalu, setelah restart lainnya, nilai akan berubah menjadi 0x000.

Mitigasi manajer boot tidak akan diterapkan hingga firmware menunjukkan bahwa mitigasi sertifikat 2023 berhasil diterapkan. Operasi ini tidak dapat dilakukan secara tidak teratur.

Ketika kedua mitigasi diterapkan, kunci registri akan diatur untuk menunjukkan bahwa sistem adalah "2023 mampu", yang berarti bahwa media dapat diperbarui dan Mitigasi 3 dan Mitigasi 4 dapat diterapkan.

Biasanya, menyelesaikan Mitigasi 1 dan Mitigasi 2 memerlukan setidaknya dua kali mulai ulang sebelum mitigasi diterapkan sepenuhnya. Menambahkan mulai ulang tambahan di lingkungan Anda akan membantu memastikan bahwa mitigasi diterapkan lebih cepat. Namun, mungkin tidak praktis untuk menyuntikkan restart tambahan secara artifisial dan mungkin masuk akal untuk mengandalkan restart bulanan yang terjadi sebagai bagian dari menerapkan pembaruan keamanan. Melakukannya berarti lebih sedikit gangguan di lingkungan Anda tetapi berisiko memakan waktu lebih lama untuk mendapatkan keamanan.

Setelah menyebarkan Mitigation 1 dan Mitigation 2 ke perangkat Anda, Anda harus memantau perangkat Anda untuk memastikan bahwa mitigasi diterapkan dan sekarang "2023 mampu". Pemantauan dapat dilakukan dengan mencari kunci registri berikut pada sistem. Jika kunci ada dan diatur ke 1, maka sistem telah menambahkan sertifikat 2023 ke variabel Secure Boot DB. Jika kunci ada dan diatur ke 2, maka sistem memiliki sertifikat 2023 dalam DB dan dimulai dengan boot manager bertanda tangan 2023.

Subkey Registri	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Nama Nilai Kunci	WindowsUEFICA2023Capable
Tipe Data	REG_DWORD
Data	0 – atau kunci tidak ada - Sertifikat "Windows UEFI CA 2023" tidak ada dalam DB 1 - Sertifikat "Windows UEFI CA 2023" ada dalam DB 2 - Sertifikat "Windows UEFI CA 2023" ada dalam DB dan sistem dimulai dari manajer boot bertanda tangan 2023.

Setelah Mitigasi 1 dan Mitigasi 2 diterapkan ke perangkat, Anda dapat memperbarui media bootable apa pun yang digunakan di lingkungan Anda. Memperbarui media yang dapat di-boot berarti menerapkan PCA2023 boot manager yang ditandatangani ke media. Ini termasuk memperbarui gambar boot jaringan (seperti PxE dan HTTP), gambar ISO, dan drive USB. Jika tidak, perangkat dengan mitigasi yang diterapkan tidak akan dimulai dari media boot yang menggunakan manajer boot Windows yang lebih lama dan CA 2011. ​​​​

Alat dan panduan tentang cara memperbarui setiap jenis media yang dapat di-boot tersedia di sini:

Tipe Media	Sumber daya
ISO, drive USB, dan sebagainya	KB5053484: Memperbarui media yang dapat di-boot Windows untuk menggunakan PCA2023 boot manager yang ditandatangani
PXE Boot Server	Dokumentasi yang akan disediakan nanti

Selama proses pembaruan media, Anda harus memastikan untuk menguji media dengan perangkat yang memiliki keempat mitigasi. Dua mitigasi terakhir akan memblokir manajer boot yang lebih lama dan rentan. Memiliki media dengan manajer boot saat ini merupakan bagian penting untuk menyelesaikan proses ini.

Media yang dapat di-boot tidak menyertakan drive sistem perangkat tempat Windows biasanya berada dan dimulai dari otomatis. Media yang dapat di-boot biasanya digunakan untuk mem-boot perangkat yang tidak memiliki versi Windows yang dapat di-boot dan media yang dapat di-boot sering digunakan untuk menginstal Windows di perangkat.

Pengaturan Boot Aman UEFI menentukan manajer boot mana yang dipercaya dengan menggunakan Secure Boot DB (Database Tanda Tangan) dan DBX (Database Tanda Tangan Terlarang). DB berisi hash dan kunci untuk perangkat lunak tepercaya, dan penyimpanan DBX dicabut, disusupi, serta hash dan kunci yang tidak tepercaya untuk mencegah perangkat lunak yang tidak sah atau berbahaya berjalan selama proses boot.

Sangat berguna untuk memikirkan berbagai status yang dapat digunakan perangkat dan media yang dapat di-boot apa yang dapat digunakan dengan perangkat di setiap status ini. Dalam semua kasus, firmware menentukan apakah firmware harus mempercayai manajer boot yang disajikan dan, setelah menjalankan manajer boot, DB dan DBX tidak lagi dikonsultasikan oleh firmware. Media yang dapat di-boot dapat menggunakan manajer boot bertanda tangan CA 2011 atau manajer boot bertanda tangan CA 2023 tetapi tidak keduanya. Bagian berikutnya menjelaskan status perangkat, dan, dalam beberapa kasus, media apa yang dapat di-boot dari perangkat.

Skenario perangkat ini mungkin membantu saat membuat rencana untuk menyebarkan mitigasi di seluruh perangkat Anda.

Perangkat Baru

Beberapa perangkat baru mulai dikirim dengan CA 2011 dan 2023 yang telah diinstal sebelumnya di firmware perangkat. Tidak semua produsen telah beralih ke keduanya dan mungkin masih menggunakan perangkat pengiriman hanya dengan CA 2011 yang telah diinstal sebelumnya.

• Perangkat dengan CA 2011 dan 2023 dapat memulai media yang menyertakan boot manager bertanda tangan CA 2011 atau manajer boot bertanda tangan CA 2023.

• Perangkat yang hanya menginstal CA 2011 hanya dapat boot media dengan boot manager bertanda tangan CA 2011. Sebagian besar media lama menyertakan manger boot bertanda tangan CA 2011.

Perangkat dengan Mitigasi 1 dan 2

Perangkat ini telah diinstal sebelumnya dengan CA 2011 dan, dengan menerapkan Mitigation 1, sekarang memiliki CA 2023 yang terinstal. Karena perangkat ini mempercayai kedua CA, perangkat ini dapat memulai media dengan CA 2011 dan boot manager yang ditandatangani 2023.

Perangkat dengan Mitigasi 3 dan 4

Perangkat ini memiliki CA 2011 yang disertakan dalam DBX dan tidak akan lagi mempercayai media dengan manajer boot bertanda tangan CA 2011. Perangkat dengan konfigurasi ini hanya akan memulai media dengan manajer boot bertanda tangan CA 2023.

Pengaturan Ulang Boot Aman

Jika pengaturan Boot Aman telah diatur ulang ke nilai default, setiap mitigasi yang telah diterapkan ke DB (menambahkan CA 2023) dan DBX (tidak mempercayai CA 2011) mungkin tidak lagi berada di tempatnya. Perilaku akan bergantung pada apa itu firmware default.

DBX

Jika Mitigasi 3 dan/atau 4 telah diterapkan dan DBX dihapus, maka CA 2011 tidak akan berada di daftar DBX dan masih akan tepercaya. Jika ini terjadi, menerapkan ulang mitigasi 3 dan/atau 4 akan diperlukan.

DB

Jika DB berisi CA 2023 dan dihapus dengan mengatur ulang pengaturan Boot Aman ke default, sistem mungkin tidak boot jika perangkat bergantung pada manajer boot bertanda tangan CA 2023. Jika perangkat tidak boot, gunakan alat securebootrecovery.efi yang dijelaskan dalam KB5025885: Cara mengelola pencabutan manajer boot Windows untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932 untuk memulihkan sistem.

• Mitigasi 3: Aktifkan pencabutan
  
  Tidak mempercayai sertifikat Microsoft Windows Production PCA 2011 dengan menambahkannya ke firmware Secure Boot DBX. Ini akan menyebabkan firmware tidak mempercayai semua manajer boot bertanda tangan CA 2011 dan media apa pun yang bergantung pada manajer boot bertanda tangan CA 2011.

• Mitigasi 4: Terapkan pembaruan Nomor Versi Aman ke firmware
  
  Menerapkan pembaruan Secure Version Number (SVN) ke firmware Secure Boot DBX. Ketika manajer boot bertanda tangan 2023 mulai berjalan, ia melakukan pemeriksaan mandiri dengan membandingkan SVN yang disimpan di firmware dengan SVN bawaan manajer boot. Jika SVN manajer boot lebih rendah dari firmware SVN, manajer boot tidak akan berjalan. Fitur ini mencegah penyerang mengembalikan manajer boot ke versi lama yang tidak diperbarui. Untuk pembaruan keamanan di masa mendatang untuk manajer boot, SVN akan ditambahkan, dan Mitigation 4 harus diterapkan kembali.

Penting Mitigation 1 dan Mitigation 2 harus diselesaikan sebelum menerapkan Mitigation 3 dan Mitigation 4.

Untuk informasi tentang cara menerapkan Mitigation 3 dan Mitigation 4 dalam dua langkah terpisah (jika Anda ingin lebih berhati-hati, setidaknya pada awalnya) lihat KB5025885: Cara mengelola pencabutan manajer boot Windows untuk perubahan Boot Aman yang terkait dengan CVE-2023-24932 Atau Anda bisa menerapkan kedua mitigasi dengan menjalankan operasi kunci registri tunggal berikut ini sebagai Administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Menerapkan kedua mitigasi secara bersamaan hanya akan memerlukan satu kali mulai ulang untuk menyelesaikan operasi.

• Mitigasi 3: Anda dapat memverifikasi bahwa daftar pembatalan berhasil diterapkan dengan mencari ID Kejadian: 1037 dalam log kejadian, per KB5016061: Kejadian pembaruan variabel DB dan DBX Boot Aman.
  
  Alternatifnya, Anda dapat menjalankan perintah PowerShell berikut ini sebagai Administrator dan memastikannya mengembalikan True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Mitigasi 4: Metode untuk mengonfirmasi bahwa pengaturan SVN telah diterapkan belum ada. Bagian ini akan diperbarui ketika solusi tersedia.