Pradinė publikavimo data: 2025 m. vasario 13 d.
KB ID: 5053946
Įvadas
Šiame dokumente aprašomas apsaugos nuo viešai atskleistos saugiosios įkrovos saugos funkcijos apėjimo, kuris naudoja "BlackLotus UEFI" įkrovos rinkinį, stebimą CVE-2023-24932 įmonės aplinkoms, diegimas.
Kad išvengtų sutrikimų, "Microsoft" neplanuoja diegti šių rizikos mažinimo priemonių įmonėse, tačiau teikia šias rekomendacijas, kad padėtų įmonėms pačioms jas įgyvendinti. Tai suteikia įmonėms galimybę kontroliuoti diegimo planą ir diegimo laiką.
Darbo pradžia
Mes suskirstėme diegimą į kelis etapus, kuriuos galima atlikti pagal jūsų organizacijai tinkamą laiko planavimo juostą. Turėtumėte susipažinti su šiais veiksmais. Kai gerai suprasite veiksmus, turėtumėte apsvarstyti, kaip jie veiks jūsų aplinkoje, ir parengti diegimo planus, kurie veiks jūsų įmonei laiko planavimo juostoje.
Norint įtraukti naują "Windows UEFI CA 2023" sertifikatą ir atšaukti pasitikėjimą "Microsoft Windows Production PCA 2011" sertifikatu, būtina bendradarbiauti su įrenginio programine-aparatine įranga. Kadangi naudojamas didelis įrenginio aparatūros ir programinės-aparatinės įrangos derinys, o "Microsoft" negali išbandyti visų derinių, rekomenduojame išbandyti tipinius įrenginius savo aplinkoje prieš visuotinį diegimą. Rekomenduojame išbandyti bent vieną kiekvieno tipo įrenginį, naudojamą jūsų organizacijoje. Kai kurios žinomos įrenginio problemos, kurios blokuos šias rizikos mažinimo priemones, dokumentuojamos kaip KB5025885 dalis: Kaip valdyti saugiosios įkrovos keitimų, susietų su CVE-2023-24932, "Windows" įkrovos tvarkytuvo atšaukimus. Jei aptiksite įrenginio programinės-aparatinės įrangos problemą, kuri nėra nurodyta skyriuje Žinomos problemos , kreipkitės į OĮG tiekėją, kad išspręstumėte šią problemą.
Kadangi šiame dokumente nurodomi keli skirtingi sertifikatai, jie pateikiami šioje lentelėje, kad būtų lengviau juos suprasti ir paaiškinti:
|
Senosios 2011 m. CA |
Naujos 2023 m. CA (galioja iki 2038 m.) |
Funkcija |
|
"Microsoft Corporation KEK CA 2011" (baigia galioti 2026 m. liepos mėn.) |
"Microsoft Corporation KEK CA 2023" |
Pasirašo DB ir DBX naujinimus |
|
Microsoft Windows Production PCA 2011 (PCA2011) (baigia galioti 2026 m. spalio mėn.) |
"Windows UEFI CA 2023" (PCA2023) |
Ženklai "Windows" įkrovos programa |
|
"Microsoft Corporation UEFI CA 2011" (baigia galioti 2026 m. liepos mėn.) |
"Microsoft UEFI CA 2023" ir "Microsoft" parinktis ROM UEFI CA 2023 |
Pasirašo trečiųjų šalių įkrovos įkėlimo programas ir parinkčių ROM |
Svarbu Prieš tikrindami įrenginius su pažeidžiamumą mažinančiomis priemonėmis, testavimo įrenginiuose būtinai taikykite naujausius saugos naujinimus.
Pastaba Tikrindami įrenginio programinę-aparatinę įrangą, galite aptikti problemų, kurios neleidžia tinkamai veikti saugiosios įkrovos naujinimams. Tam gali tekti gauti atnaujintą programinę-aparatinę įrangą iš gamintojo (OĮG) ir atnaujinti paveiktų įrenginių programinę-aparatinę įrangą, kad būtų išvengta jūsų aptiktų problemų.
Norint apsisaugoti nuo CVE-2023-24932 aprašytų atakų, reikia taikyti keturias rizikos mažinimo priemones:
-
1 rizikos mažinimas: Įdiegti atnaujintą sertifikato (PCA2023) aprašą į DB
-
2 rizikos mažinimas:Atnaujinkite įrenginio įkrovos tvarkytuvą
-
3 rizikos mažinimas:Įgalinti atšaukimą (PCA2011)
-
4 švelninimas:Programinei-aparatinei įrangai pritaikykite SVN naujinimą
Šiuos keturis rizikos mažinimo priemones galima rankiniu būdu taikyti kiekvienam bandomajam įrenginiui, vadovaujantis nurodymais, aprašytais KB5025885 m. "Mitigation Deployment" gairėse: Kaip valdyti saugiosios įkrovos keitimų, susietų su CVE-2023-24932, "Windows" įkrovos tvarkytuvo atšaukimus arba vadovaujantis šiame dokumente pateiktais nurodymais. Visos keturios rizikos mažinimo priemonės priklauso nuo programinės-aparatinės įrangos, kad ji veiktų tinkamai.
Planuodami galėsite suprasti šias rizikas.
Programinės-aparatinės įrangos problemos:Kiekvienas įrenginys turi įrenginio gamintojo pateiktą programinę-aparatinę įrangą. Šiame dokumente aprašytoms diegimo operacijoms atlikti programinė-aparatinė įranga turi turėti galimybę priimti ir apdoroti saugiosios įkrovos DB (parašų duomenų bazės) ir DBX (draudžiamų parašų duomenų bazės) naujinimus. Be to, programinė įranga yra atsakinga už parašo ar įkrovos programų, įskaitant "Windows" įkrovos tvarkyklę, patvirtinimą. Įrenginio programinė įranga yra programinė įranga ir, kaip ir bet kuri programinė įranga, gali turėti defektų, todėl prieš plačiai diegiant svarbu išbandyti šias operacijas."Microsoft" nuolat testuoja daugelį įrenginių / programinės-aparatinės įrangos derinių, pradedant įrenginiais "Microsoft" laboratorijose ir biuruose, ir "Microsoft" dirba su OĮG, kad išbandytų jų įrenginius. Beveik visi išbandyti įrenginiai išlaikė be problemų. Kai kuriais atvejais pastebėjome problemų dėl programinės-aparatinės įrangos, kuri netinkamai apdoroja naujinimus, ir dirbame su OĮG, kad išspręstume mums žinomas problemas.
Pastaba Jei įrenginio tikrinimo metu aptiksite programinės-aparatinės įrangos problemą, rekomenduojame ją išspręsti kartu su įrenginio gamintoju / OĮG. Įvykių žurnale ieškokite įvykio ID 1795 . Daugiau informacijos apie saugiosios įkrovos įvykius žr. KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai .
Diegimo laikmena:Taikant toliau šiame dokumente aprašytus 3 ir 4 rizikos mažinimus, esamą "Windows" diegimo laikmeną bus galima paleisti tik laikmenoje atnaujinus įkrovos tvarkytuvą. Šiame dokumente aprašytos rizikos mažinimo priemonės neleidžia paleisti senų, pažeidžiamų įkrovos vadovų, nes jie nepasitiki programine-aparatine įranga. Tai neleidžia užpuolikams grąžinti sistemos įkrovos tvarkytuvo į ankstesnę versiją ir išnaudoti senesnių versijų pažeidžiamumus. Šių pažeidžiamų įkrovos tvarkytuvų blokavimas neturėtų turėti įtakos veikiančiai sistemai. Tačiau tai neleis paleisti jokios paleidžiamosios laikmenos, kol nebus atnaujinti laikmenos įkrovos tvarkytuvai. Tai apima ISO atvaizdus, įkraunančiuosius USB diskus ir tinklo įkrovą (PxE ir HTTP įkrovą).
"PCA2023" ir naujojo įkrovos tvarkytuvo naujinimas
-
1 rizikos mažinimas: įdiekite atnaujintus sertifikatų aprašus DB Įtraukiamas naujas "Windows UEFI CA 2023" sertifikatas į UEFI saugiosios įkrovos parašo duomenų bazę (DB). Įtraukus šį sertifikatą į DB, įrenginio programinė-aparatinė įranga patikimai palaikys šiuo sertifikatu pasirašytas "Microsoft Windows" paleidimo programas.
-
2 rizikos mažinimas: atnaujinkite įrenginio įkrovos tvarkytuvą Taikomas naujas "Windows" įkrovos tvarkytuvas, pasirašytas naujuoju "Windows UEFI CA 2023" sertifikatu.
Šios rizikos mažinimo priemonės yra svarbios ilgalaikiam "Windows" naudojimui šiuose įrenginiuose. Kadangi programinėje-aparatinėje įrangoje esančio "Microsoft Windows Production PCA 2011" sertifikato galiojimas baigsis 2026 m. spalio mėn., įrenginių programinės-aparatinės įrangos galiojimas privalo būti naujas "Windows UEFI CA 2023" sertifikatas iki galiojimo pabaigos, kitaip įrenginys nebegalės gauti "Windows" naujinimų, todėl bus pažeidžiamos saugos būsenos.
Norėdami taikyti visus mažinimus kartu, vykdykite šią komandą kaip administratorius:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
Kai taikomi rizikos mažinimai, AvailableUpdates reikšmės bitai pašalinami. Gali tekti paleisti iš naujo kelis kartus.
Įkrovos tvarkytuvo rizikos mažinimas taikomas tik po to, kai programinė-aparatinė įranga praneša, kad sertifikato mažinimas baigtas. Šių veiksmų negalima atlikti ne iš eilės.
Baigus, UEFICA2023Status nustatoma kaip "Atnaujinta".
Kai kurie įrenginiai jau gali būti atnaujinti, jei klasifikuojami kaip didelio patikimumo. Daugiau informacijos žr. Saugiosios įkrovos rekomendacijos.
Įdiegę pažeidžiamumą mažinančias priemones savo įrenginiuose, turėtumėte stebėti įrenginius, kad įsitikintumėte, jog juose taikomos pažeidžiamumą mažinančios priemonės ir jie dabar yra "atnaujinti". Stebėjimą galima atlikti ieškant šio registro rakto sistemoje. Jei kodas yra ir nustatytas kaip Vykdoma, sistema pradėjo naujinti sistemą. Jei raktas yra ir nustatytas kaip Atnaujinta, sistema turi reikiamus 2023 m. sertifikatus DB ir KEK ir prasideda nuo 2023 m. pasirašytos įkrovos tvarkyklės.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Rakto reikšmės pavadinimas |
UEFICA2023Būsena |
|
|
Duomenų tipas |
REG_SZ (eilutė) |
|
|
Duomenys |
Atspindi saugiosios įkrovos rakto naujinimo įrenginyje dabartinę būseną. Bus nustatyta viena iš šių teksto reikšmių:
Iš pradžių būsena yra Nepradėta. Prasidėjus naujinimui jis pasikeičia į Vykdoma, o galiausiai, įdiegus visus naujus raktus ir naują įkrovos tvarkytuvą, jis pasikeičia į Vykdoma. Jei yra klaida, UEFICA2023Error registro reikšmė nustatyta į ne nulinį kodą. |
|
Įkrovos laikmenos naujinimas
Kai jūsų įrenginiams bus pritaikytos 1 ir 2 mažinimo priemonės, galėsite atnaujinti bet kokią įkraunantysi laikmeną, kurią naudojate savo aplinkoje. Įkrovos laikmenos atnaujinimas reiškia, kad laikmenoje bus pritaikyta PCA2023 pasirašyta įkrovos tvarkyklė. Tai apima tinklo įkrovos atvaizdų (pvz., PxE ir HTTP), ISO atvaizdų ir USB atmintinių naujinimą. Kitu atveju įrenginiai su pritaikytomis rizikos mažinimo priemonėmis nebus paleisti iš įkrovos laikmenos, kurioje naudojama senesnė "Windows" įkrovos tvarkyklė ir 2011 CA.
Įrankius ir nurodymus, kaip atnaujinti kiekvieno tipo įkraunančiąją laikmeną, rasite čia:
|
Laikmenos tipas |
Išteklius |
|
ISO, USB atmintinės ir t. t. |
|
|
PXE įkrovos serveris |
Dokumentai bus pateikti vėliau |
Medijos naujinimo proceso metu turėtumėte būtinai išbandyti mediją naudodami įrenginį, kuriame yra visos keturios rizikos mažinimo priemonės. Paskutinės dvi rizikos mažinimo priemonės blokuos senesnius, pažeidžiamus įkrovos vadovus. Laikmena su dabartiniais įkrovos tvarkytuvais yra svarbi šio proceso užbaigimo dalis.
Pastaba Kadangi įkrovos tvarkytuvo keitimų atšaukimo atakos yra realybė ir tikimės nuolatinių "Windows" įkrovos tvarkytuvo naujinimų, skirtų saugos problemoms spręsti, rekomenduojame įmonėms planuoti pusiau reguliarius medijos naujinimus ir įdiegti procesus, kad medijos naujinimas būtų paprastas ir užimtų mažiau laiko. Jei įmanoma, mūsų tikslas yra apriboti medijos įkrovos tvarkytuvo atnaujinimų skaičių daugiausia iki dviejų kartų per metus.
Įkraunančioji laikmena neapima įrenginio sistemos disko, kuriame įprastai yra ir iš kurio automatiškai paleidžiama sistema "Windows". Įkraunančioji laikmena dažniausiai naudojama įrenginiui, kuriame nėra įkraunančiosios "Windows" versijos, o įkraunančioji laikmena dažnai naudojama sistemoje "Windows" įdiegti.
UEFI saugiosios įkrovos parametrai nustato, kuriais įkrovos vadovais pasitikėti, naudojant saugiosios įkrovos DB (parašų duomenų bazę) ir DBX (draudžiamų parašų duomenų bazę). DB yra patikimos programinės įrangos maišos ir raktai, o DBX saugo atšauktas, pažeistas ir nepatikimas maišas ir raktus, kad neleistų paleisti neleistinos ar kenkėjiškos programinės įrangos įkrovos proceso metu.
Naudinga pagalvoti apie skirtingas įrenginio būsenas ir kokią įkrovos laikmeną galima naudoti su įrenginiu kiekvienoje iš šių būsenų. Visais atvejais programinė įranga nustato, ar ji turėtų pasitikėti jai pateikiama įkrovos tvarkykle, o paleidus įkrovos tvarkyklę, programinė įranga nebekonsultuoja DB ir DBX. Įkrovos laikmenoje gali būti naudojama 2011 m. CA pasirašyta įkrovos tvarkyklė arba 2023 m. CA pasirašyta įkrovos tvarkyklė, bet ne abi. Kitame skyriuje aprašoma, kokios būsenos gali būti įrenginys ir, kai kuriais atvejais, kokią laikmeną galima paleisti iš įrenginio.
Šie įrenginio scenarijai gali padėti planuojant rizikos mažinimo priemones diegti visuose įrenginiuose.
Nauji įrenginiai
Kai kurie nauji įrenginiai buvo pradėti siųsti su 2011 ir 2023 m. CA, iš anksto įdiegtomis įrenginio programinėje-aparatinėje įrangoje. Ne visi gamintojai perėjo prie abiejų ir vis dar gali siųsti įrenginius su iš anksto įdiegta tik 2011 m. CA.
-
Įrenginiai su 2011 ir 2023 m. CA gali paleisti laikmeną, kurioje yra 2011 m. CA pasirašyta įkrovos tvarkyklė arba 2023 m. CA pasirašyta įkrovos tvarkyklė.
-
Įrenginiai, kuriuose įdiegta tik 2011 CA gali paleisti laikmeną tik su 2011 CA pasirašyta įkrovos tvarkytuve. Dauguma senesnių žiniasklaidos priemonių yra 2011 m. CA pasirašytas boot manger.
Įrenginiai su 1 ir 2 rizikos mažinimo priemonėmis
Šie įrenginiai buvo iš anksto įdiegti naudojant 2011 m. CA ir, pritaikius 1 rizikos mažinimą, dabar turi įdiegtą 2023 m. CA. Kadangi šie įrenginiai pasitiki abiem CA, šie įrenginiai gali paleisti laikmeną su 2011 m. CA ir 2023 m. pasirašyta įkrovos tvarkykle.
Įrenginiai su 3 ir 4 rizikos mažinimo priemonėmis
Šiuose įrenginiuose į DBX įtraukta 2011 metų CA versija, todėl jie nebepasitikės medijomis, turinčiomis 2011 m. CA pasirašytą įkrovos tvarkytuvą. Šios konfigūracijos įrenginys paleis laikmeną tik su 2023 CA pasirašyta įkrovos tvarkytuve.
Saugiosios įkrovos nustatymas iš naujo
Jei saugiosios įkrovos parametrai buvo nustatyti iš naujo į numatytąsias reikšmes, jokios rizikos mažinimo priemonės, kurios buvo taikomos DB (pridedant 2023 m. CA) ir DBX (nepasitikint 2011 m. CA), gali būti nebetaikomos. Veikimas priklausys nuo numatytųjų programinės-aparatinės įrangos nustatymų.
DBX
Jei buvo pritaikyti 3 ir (arba) 4 rizikos mažinimai ir DBX buvo pašalinta, tada 2011 m. CA nebus DBX sąraše ir vis tiek bus patikima. Jei taip atsitinka, reikės iš naujo taikyti 3 ir (arba) 4 rizikos mažinimo priemones.
DB
Jei DB buvo 2023 CA ir ji pašalinama iš naujo nustatant saugiosios įkrovos nustatymus į numatytuosius parametrus, sistema gali neįsijungti, jei įrenginys priklauso nuo 2023 m. CA pasirašyto įkrovos tvarkytuvo. Jei įrenginys neįsijungia, naudokite securebootrecovery.efi įrankį, aprašytą KB5025885: Kaip valdyti saugiosios įkrovos keitimų, susietų su CVE-2023-24932, "Windows" įkrovos tvarkytuvo atšaukimus , kad atkurtumėte sistemą.
Nepasitikėjimas PCA2011 ir saugios versijos numerio taikymas DBX
-
3 rizikos mažinimas: įgalinkite atšaukimą Nepasitiki "Microsoft Windows Production PCA 2011" sertifikatu, įtraukdamas jį į programinės-aparatinės įrangos saugiosios įkrovos DBX dalį. Dėl to programinė-aparatinė įranga nepasitikės visais 2011 CA pasirašytais įkrovos tvarkytuvais ir bet kokia laikmena, kuri priklauso nuo 2011 m. CA pasirašyto įkrovos tvarkytuvo.
-
4 rizikos mažinimas: programinei-aparatinei įrangai taikykite saugios versijos numerio naujinimą Taiko saugios versijos numerio (SVN) naujinimą programinės-aparatinės įrangos saugiosios įkrovos DBX. Kai pradedama veikti 2023 m. pasirašyta įkrovos tvarkyklė, ji atlieka savęs patikrą, palygindama programinėje-aparatinėje įrangoje saugomą SVN su įkrovos tvarkyklėje integruotu SVN. Jei įkrovos tvarkytuvo SVN yra mažesnis už programinės-aparatinės įrangos SVN, įkrovos tvarkytuvas neveiks. Ši funkcija neleidžia užpuolikui grąžinti įkrovos tvarkytuvo į senesnę, neatnaujintą versiją. Būsimuose įkrovos tvarkytuvo saugos naujinimuose SVN bus padidintas ir reikės iš naujo taikyti 4 rizikos mažinimą.
Svarbu 1 ir 2 švelninimas turi būti užbaigti prieš taikant 3 ir 4 švelninimo priemones.
Informacijos, kaip taikyti 3 ir 4 rizikos mažinimą dviem atskirais veiksmais (jei norite būti atsargesni bent iš pradžių), žr . KB5025885: Kaip valdyti saugiosios įkrovos keitimų, susietų su CVE-2023-24932, "Windows" įkrovos tvarkytuvo atšaukimus Arba galite taikyti abu rizikos mažinimo būdus kaip administratorius vykdydami šią vieno registro rakto operaciją:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Norint taikyti abu rizikos mažinimus kartu, operacijai užbaigti reikės tik vieno paleidimo iš naujo.
-
3 rizikos mažinimas: Galite patikrinti, ar atšaukimo sąrašas buvo sėkmingai pritaikytas, įvykių žurnale ieškodami įvykio ID: 1037 pagal KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.Taip pat galite paleisti šią "PowerShell" komandą kaip administratorius ir įsitikinti, kad ji grąžina True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
4 švelninimas: Būdo patvirtinti, kad SVN parametras pritaikytas, dar nėra. Šis skyrius bus atnaujintas, kai bus rastas sprendimas.
Nuorodos
KB5016061: saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai
|
Keitimo data |
Pakeitimo aprašas |
|---|---|
|
2026 m. birželio 10 d. |
|
