Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Įvadas

"Microsoft" buvo informuota apie "Windows" įkrovos tvarkytuvo pažeidžiamumą, kuris leidžia pažeidėjui apeiti saugiąją įkrovą. Įkrovos tvarkytuvo problema buvo išspręsta ir išleista kaip saugos naujinimas. Likęs pažeidžiamumas yra, kad pažeidėjas administratoriaus teises arba fizinę prieigą prie įrenginio gali atšaukti įkrovos tvarkytuvo versiją be saugos pataisa. Šį keitimų atšaukimo pažeidžiamumą naudoja "BlackLotus" kenkėjiška programa, kad apeitų saugiąją įkrovą, aprašytą CVE-2023-24932. Norėdami išspręsti šią problemą, atšauksime pažeidžiamas įkrovos tvarkytuvus.

Dėl didelio įkrovos tvarkytuvų skaičiaus, kurie turi būti užblokuoti, naudojame alternatyvų būdą blokuoti įkrovos tvarkytuvus. Tai turi įtakos ne "Windows" operacinėms sistemoms, nes šiose sistemose turi būti pateikta pataisa, blokuojanti "Windows" įkrovos tvarkytuvų naudojimą kaip atakos vektorių ne "Windows" operacinėse sistemose.

Daugiau informacijos

Vienas iš būdų blokuoti pažeidžiamas EFI taikomųjų programų dvejetainius failus, kad jie nebūtų įkelti į programinę-aparatinę įrangą, yra įtraukti pažeidžiamas programas į UEFI draudžiamų naudoti sąrašą (DBX). DBX sąrašas saugomas įrenginių programinės-aparatinės įrangos valdomame "flash". Šio blokavimo metodo apribojimas yra ribota programinės-aparatinės įrangos "flash" atmintis, skirta DBX saugoti. Dėl šio apribojimo ir didelio skaičiaus įkrovos tvarkytuvų, kurie turi būti blokuojami ("Windows" įkrovos tvarkytuvai nuo praėjusių 10 metų), negalima visiškai pasitikėti DBX šiai problemai.

Dėl šios problemos mes pasirinkome hibridinį metodą, blokuojantį pažeidžiamas įkrovos tvarkytuvus. Tik kelios įkrovos tvarkytuvai, išleisti ankstesnėse "Windows" versijose, bus įtraukti į DBX. Windows 10 ir naujesnėms versijoms bus naudojama "Windows" sargyba programų kontrolės (WDAC) strategija, blokuojanti pažeidžiamas "Windows" paleidimo tvarkytuvus. Kai strategija taikoma "Windows" sistemai, įkrovos tvarkytuvas "užrakins" strategiją sistemoje įtraukdamas kintamąjį į UEFI programinę-aparatinę įrangą. "Windows" paleidimo tvarkytuvai atsižūrs į strategiją ir UEFI užraktą. Jei UEFI užraktas yra ir strategija pašalinta, "Windows" įkrovos tvarkytuvas nepasileidžia. Jei strategija yra, paleidimo tvarkytuvas nebus paleistas, jei jį užblokuos strategija.

Patarimai, kaip blokuoti pažeidžiamas "Windows" įkrovos tvarkytuvus

PASTABA Vartotojams turėtų būti suteikta galimybė taikyti kintamąjį, kad jie galėtų valdyti, kada yra apsaugoti.

Įjungus UEFI užraktą, esama paleidžiamoji "Windows" laikmena nustos veikti, kol laikmena bus atnaujinta 2023 m. gegužės 9 d. arba vėliau išleistais "Windows" naujinimais. Laikmenos naujinimo rekomendacijas rasite KB5025885: Kaip valdyti "Windows" įkrovos tvarkytuvo saugiosios įkrovos keitimų, susietų su CVE-2023-24932, atšaukimus.

  • Saugiosios įkrovos sistemose, kuriose įkraunamos tik ne "Windows" operacinės sistemos

    Sistemose, kurios paleidžia tik ne "Windows" operacines sistemas ir niekada nepaleis "Windows", šios rizikos mažinimo priemonės gali būti iš karto taikomos sistemai.

  • Dviejų įkrovų sistemoms "Windows" ir kitai operacinei sistemai

    Sistemose, kurios paleidžia "Windows", ne "Windows" mažinimai turėtų būti taikomi tik atnaujinus "Windows" operacinę sistemą į "Windows" naujinimus, išleistus 2023 m. gegužės 9 d. arba vėliau.

UEFI užrakto kūrimas

"UEFI Lock" turi du kintamuosius, kurių reikia norint išvengti keitimų atšaukimo atakų "Windows" paleidimo tvarkytuve. Šie kintamieji yra tokie:

  • SKU SiPolicy atributai

    Ši strategija turi šiuos atributus:

    • Strategijos tipo ID:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Konkretus "SkuSiPolicy.p7b" failo vardas

    • Konkreti fizinė EFI\Microsoft\Boot vieta

    Kaip ir visos pasirašytos WDAC strategijos, pasirašyta SKU strategija apsaugota dviem UEFI kintamaisiais:

    • SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"

  • SKU siPolicy kintamieji

    Ši strategija naudoja du UEFI kintamuosius, saugomus EFI vardų srityje / tiekėjo
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};

    • SkuSiPolicyVersion

      • yra ULONGLONG/UInt64 tipo vykdymo metu

      • apibrėžtas<VersionEx>2.0.0.2</VersionEx> strategijos XML formatu (MAJOR. NEDIDELIŲ. PERŽIŪRA. KOMPONAVIMO VERSIJOS NUMERIS)

      • Jis išverčiamas į ULONGLONG kaip

        ((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)

        Kiekvienas versijos numeris turi 16 bitų, todėl iš viso yra 64 bitai.

      • Naujesnės strategijos versija turi būti lygi arba naujesnė už versiją, saugomą UEFI kintamajame vykdymo metu.

      • Aprašas: nustatykite kodo vientisumo paleidimo strategijos versiją.

      • Atributus:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Vardų srities GUID:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Duomenų tipas:

        uint8_t[8]

      • Duomenų:

        uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };

    • SkuSiPolicyUpdateSigners

      • Turi būti "Windows" pasirašęs asmuo.

      • Aprašas: strategiją pasirašiusio asmens informacija.

      • Atributus:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Vardų srities GUID:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Duomenų tipas:

        uint8_t[131]

      • Duomenų:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,

              0x00, 0x00 0x00};

DBX taikymas

UEFI.org išleidome failą DbxUpdate.bin šiai problemai išspręsti. Šios maišos apima visus atšauktus "Windows" paleidimo tvarkytuvus, išleistus tarp "Windows 8" ir pradinio Windows 10 leidimo, kurie neatitinka kodo vientisumo strategijos.

Labai svarbu, kad jos būtų taikomos atsargiai, nes gali lūžti dvigubos įkrovos sistema, kuri naudoja kelias operacines sistemas, ir viena iš šių įkrovos vadybininkų. Artimiausiu metu rekomenduojame bet kuriai sistemai pasirinktinai taikyti šias maišas.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×