Introduzione
Microsoft è stata informata di una vulnerabilità con gestione di avvio di Windows che consente a un utente malintenzionato di ignorare l'avvio protetto. Il problema in Boot Manager è stato risolto e rilasciato come aggiornamento della sicurezza. La vulnerabilità rimanente è che un utente malintenzionato con privilegi amministrativi o accesso fisico al dispositivo può eseguire il rollback del boot manager a una versione senza la correzione per la sicurezza. Questa vulnerabilità di rollback viene utilizzata dal malware BlackLotus per bypassare l'avvio protetto descritto da CVE-2023-24932. Per risolvere questo problema, verranno revocati i responsabili di avvio vulnerabili.
A causa del numero elevato di boot manager che devono essere bloccati, stiamo usando un modo alternativo per bloccare i boot manager. Questo problema riguarda i sistemi operativi non Windows in quanto è necessario fornire una correzione su tali sistemi per impedire che i boot manager di Windows vengano utilizzati come vettore di attacco su sistemi operativi non Windows.
Altre informazioni
Un metodo per bloccare il caricamento dei file binari delle applicazioni EFI vulnerabili dal firmware consiste nell'aggiungere hash delle applicazioni vulnerabili all'elenco DBX (UEFI Forbidden List). L'elenco DBX è archiviato nel flash gestito dal firmware dei dispositivi. La limitazione di questo metodo di blocco è la memoria flash del firmware limitata disponibile per archiviare dbX. A causa di questa limitazione e del numero elevato di boot manager che devono essere bloccati (responsabili di avvio di Windows degli ultimi 10+ anni), non è possibile affidarsi interamente al DBX per questo problema.
Per questo problema, abbiamo scelto un metodo ibrido per bloccare i responsabili di avvio vulnerabili. Solo alcuni boot manager rilasciati nelle versioni precedenti di Windows verranno aggiunti a DBX. Per Windows 10 e versioni successive, verrà utilizzato un criterio di controllo dell'applicazione (WDAC) Windows Defender che blocca i responsabili di avvio di Windows vulnerabili. Quando il criterio viene applicato a un sistema Windows, il boot manager "blocca" il criterio al sistema aggiungendo una variabile al firmware UEFI. I boot manager di Windows rispettaranno i criteri e il blocco UEFI. Se il blocco UEFI è presente e i criteri sono stati rimossi, Gestione avvio di Windows non verrà avviato. Se i criteri sono impostati, il boot manager non si avvia se è stato bloccato dal criterio.
Linee guida per il blocco dei responsabili di avvio di Windows vulnerabili
NOTA Agli utenti dovrebbe essere data la possibilità di applicare la variabile in modo che possano controllare quando sono protetti.
L'abilitazione del blocco UEFI causerà l'arresto dell'avvio dei supporti di Windows esistenti avviabili fino a quando il supporto non viene aggiornato con gli aggiornamenti di Windows rilasciati dopo il 9 maggio 2023 o successivamente. Le linee guida per l'aggiornamento dei supporti sono disponibili in KB5025885: Come gestire le revoche di Windows Boot Manager per le modifiche di avvio protetto associate a CVE-2023-24932.
-
Per i sistemi abilitati per Avvio protetto che avviano solo sistemi
operativi non Windows Per i sistemi che avviano solo sistemi operativi non Windows e non avviano mai Windows, queste misure di prevenzione possono essere applicate immediatamente al sistema. -
Per i sistemi con doppio avvio windows e un altro sistema
operativo Per i sistemi che avviano Windows, le misure di prevenzione non Windows devono essere applicate solo dopo che il sistema operativo Windows è stato aggiornato agli aggiornamenti di Windows rilasciati dopo il 9 maggio 2023 incluso.
Creare il blocco UEFI
Il blocco UEFI ha due variabili necessarie per prevenire gli attacchi di rollback in Gestione avvio windows. Queste variabili sono le seguenti:
-
Attributi SKU SiPolicy
Questo criterio ha gli attributi seguenti:
-
ID tipo di criterio:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Nome file specifico di "SkuSiPolicy.p7b"
-
Posizione fisica specifica di EFI\Microsoft\Boot
Come tutti i criteri WDAC firmati, i criteri SKU firmati sono protetti da due variabili UEFI:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
Variabili
SKU SiPolicy Questo criterio usa due variabili UEFI archiviate nello spazio dei nomi EFI/fornitore
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
è di tipo ULONGLONG/UInt64 in fase di esecuzione
-
è definita da <VersionEx>2.0.0.2</VersionEx> all'interno del codice XML del criterio sotto forma di (MAJOR. MINORE. REVISIONE. NUMERO.BUILD)
-
Viene convertito in ULONGLONG come
((principale##ULL << 48) + (secondario##ULL << 32) + (revisione##ULL << 16) + numero build)
Ogni numero di versione ha 16 bit, quindi ha un totale di 64 bit.
-
La versione del criterio più recente deve essere uguale o maggiore della versione archiviata nella variabile UEFI in fase di esecuzione.
-
Descrizione: Set è la versione dei criteri di avvio dell'integrità del codice.
-
Attributi:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid spazio dei nomi:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Tipo di dati:
uint8_t[8]
-
Dati:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Deve essere il firmatario di Windows.
-
Descrizione: informazioni sul firmatario dei criteri.
-
Attributi:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid spazio dei nomi:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Tipo di dati:
uint8_t[131]
-
Dati:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00
0x00, 0x00, 0x00};
-
-
Applicare il dbX
Il file DbxUpdate.bin per questo problema è stato rilasciato il UEFI.org. Questi hash includono tutti i responsabili di avvio di Windows revocati rilasciati tra Windows 8 e la versione iniziale di Windows 10 che non rispettano i criteri di integrità del codice.
È della massima importanza che questi vengano applicati con attenzione a causa del rischio che possano rompere un sistema di doppio avvio che utilizza più sistemi operativi e uno di questi boot manager. A breve termine, si consiglia di applicare facoltativamente questi hash per qualsiasi sistema.
