Pradinė publikavimo data: 2025 m. vasario 13 d.
KB ID: 5053946
Įvadas
Šiame dokumente aprašomas apsaugos nuo viešai skelbiamos saugiosios įkrovos saugos funkcijos apėjimo, kuris naudoja "BlackLotus UEFI" įkrovos rinkinį, sekamą CVE-2023-24932 įmonės aplinkose, diegimas.
Kad išvengtumėte trikčių, "Microsoft" neplanuoja diegti šių rizikos mažinimo priemonių įmonėse, bet teikia šias rekomendacijas, kad padėtų įmonėms patiems pritaikyti rizikos mažinimą. Tai suteikia įmonėms galimybę valdyti diegimo planą ir diegimo laiką.
Darbo pradžia
Mes padalėme diegimą į kelis veiksmus, kuriuos galima pasiekti jūsų organizacijai tinkamame laiko planavimo juostoje. Turėtumėte susipažinti su šiais veiksmais. Gerai suprasdami veiksmus, turėtumėte apsvarstyti, kaip jie veiks jūsų aplinkoje, ir parengti diegimo planus, kurie jūsų įmonei tinka jūsų laiko planavimo juostoje.
Norint įtraukti naują "Windows UEFI CA 2023" sertifikatą ir nepatikimą "Microsoft Windows Production PCA 2011" sertifikatą, reikia bendradarbiauti naudojant įrenginio programinę-aparatinę įrangą. Kadangi yra didelis įrenginio aparatūros ir programinės-aparatinės įrangos derinys ir "Microsoft" negali patikrinti visų kombinacijų, rekomenduojame išbandyti tipinius įrenginius savo aplinkoje prieš diegiant plačiai. Rekomenduojame išbandyti bent vieną kiekvieno tipo įrenginį, kuris naudojamas jūsų organizacijoje. Kai kurios žinomos įrenginio problemos, kurios blokuos šiuos mažinimus, yra dokumentuojamos kaip KB5025885 dalis: kaip valdyti "Windows" įkrovos tvarkytuvo saugiosios įkrovos keitimų, susietų su CVE-2023-24932, atšaukimus. Jei aptiksite įrenginio programinės-aparatinės įrangos problemą, kurios nėra skyriuje Žinomos problemos , susisiekite su OĮG tiekėju, kad išspręstumėte problemą.
Kadangi šis dokumentas nurodo kelis skirtingus sertifikatus, jie pateikiami toliau pateiktoje lentelėje, kad būtų lengviau juos naudoti ir aiškiau:
|
2011 m. KS |
Nauji 2023 m. KAB (galioja iki 2038 m.) |
Funkcija |
|
Microsoft Corporation KEK CA 2011 (baigia galioti 2026 m. liepos mėn.) |
Microsoft Corporation KEK CA 2023 |
Pasirašo DB ir DBX naujinimus |
|
"Microsoft Windows Production PCA 2011" (PCA2011) (baigia galioti 2026 m. spalio mėn.) |
"Windows UEFI CA 2023" (PCA2023) |
Pasirašo "Windows" įkrovos tvarkyklę |
|
"Microsoft Corporation UEFI CA 2011" (baigia galioti 2026 m. liepos mėn.) |
"Microsoft UEFI CA 2023" ir "Microsoft Option ROM UEFI CA 2023" |
Pasirašo trečiųjų šalių paleidimo tvarkykles ir parinkčių ROM |
Svarbu Prieš išbandykite įrenginius naudodami rizikos mažinimo priemones, būtinai įdiekite naujausius saugos naujinimus bandymo kompiuteriuose.
Pastaba Įrenginio programinės-aparatinės įrangos tikrinimo metu gali kilti problemų, neleidžiančių tinkamai veikti saugiosios įkrovos naujinimams. Tam gali reikėti iš gamintojo (OĮG) gauti atnaujintą programinę-aparatinę įrangą ir atnaujinti programinę-aparatinę įrangą paveiktuose įrenginiuose, kad būtų sumažintos aptiktos problemos.
Yra keturi mažinimai, kurie turi būti taikomi siekiant apsisaugoti nuo atakų, aprašytų CVE-2023-24932:
-
1 rizikos mažinimas: Įdiekite atnaujintą sertifikatą (PCA2023) apibrėžimą į DB
-
2 mažinimas:Įrenginio įkrovos tvarkytuvo naujinimas
-
3 mažinimas:Įgalinti atšaukimą (PCA2011)
-
4 mažinimas:SVN naujinimo taikymas programinei-aparatinei įrangai
Šios keturios rizikos mažinimo priemonės gali būti rankiniu būdu taikomos kiekvienam iš bandomųjų įrenginių pagal rekomendacijas, aprašytas KB5025885 rizikos mažinimo diegimo gairėse: kaip valdyti "Windows" įkrovos tvarkytuvo saugiosios įkrovos pakeitimų, susietų su CVE-2023-24932, atšaukimus arba pagal šiame dokumente pateiktus nurodymus. Visi keturi rizikos mažinimai priklauso nuo programinės-aparatinės įrangos, kad veiktų tinkamai.
Apie šią riziką jums padės planavimo proceso metu.
Programinės-aparatinės įrangos problemos:Kiekvienas įrenginys turi įrenginio gamintojo pateiktą programinę-aparatinę įrangą. Šiame dokumente aprašytoms diegimo operacijoms programinė-aparatinė įranga turi turėti galimybę priimti ir apdoroti saugiosios įkrovos DB (parašo duomenų bazės) ir DBX (draudžiamos parašo duomenų bazės) naujinimus. Be to, programinė-aparatinė įranga yra atsakinga už parašo arba paleidimo programų, įskaitant "Windows" paleidimo tvarkytuvą, tvirtinimą. Įrenginio programinė-aparatinė įranga yra programinė įranga ir, kaip ir bet kuri programinė įranga, gali turėti defektų, todėl svarbu išbandyti šias operacijas prieš plačiai įdiegiant."Microsoft" nuolat tikrina daugelį įrenginio / programinės-aparatinės įrangos derinių, pradedant nuo įrenginių "Microsoft Labs" ir biuruose, o "Microsoft" dirba su OĮG, kad patikrintų savo įrenginius. Beveik visi išbandyti įrenginiai praėjo be problemų. Keliais atvejais susidūrėme su programinės-aparatinės įrangos problemomis netinkamai tvarkydami naujinimus ir dirbame su OĮG, kad išspręstume problemas, apie kurias žinome.
Pastaba Jei įrenginio bandymo metu aptiksite programinės-aparatinės įrangos problemą, rekomenduojame dirbti su įrenginio gamintoju / OĮG, kad išspręstumėte problemą. Įvykių žurnale ieškokite įvykio ID 1795 . Daugiau informacijos apie saugiosios įkrovos įvykius žr. KB5016061: Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai .
Diegti mediją:Taikant "Mitigation 3" ir "Mitigation 4", aprašytas toliau šiame dokumente, bet kuri esama "Windows" diegimo laikmena nebebus paleidžiama, kol medijoje nebus atnaujintas įkrovos tvarkytuvas. Šiame dokumente aprašytos pažeidžiamumą mažinančios priemonės neleidžia veikti seniems, pažeidžiamiems įkrovos tvarkytuvams, nepatikimi jų programinėje-aparatinėje įrangoje. Tai neleidžia pažeidėjui grąžinti sistemos įkrovos tvarkytuvo į ankstesnę versiją ir išnaudoti senesnėse versijose esančius pažeidžiamumus. Šių pažeidžiamų įkrovos tvarkytuvų blokavimas neturėtų turėti įtakos veikiančiai sistemai. Tačiau ji neleis paleisti paleidžiamos laikmenos, kol bus atnaujintos laikmenos įkrovos tvarkytuvai. Tai apima ISO vaizdus, įkraunamuosius USB diskus ir tinklo įkrovą (PxE ir HTTP įkrovą).
Atnaujinkite į PCA2023 ir naują įkrovos tvarkytuvą
-
1 mažinimas: įdiekite atnaujintą sertifikato aprašus DB Įtraukia naują "Windows UEFI CA 2023" sertifikatą į UEFI saugiosios įkrovos parašo duomenų bazę (DB). Įtraukus šį sertifikatą į DUOMENŲ BAZĘ, įrenginio programinė-aparatinė įranga pasitikės "Microsoft Windows" paleidimo programomis, pasirašytomis šiuo sertifikatu.
-
2 mažinimas: atnaujinkite įrenginio įkrovos tvarkytuvą Taiko naują "Windows" įkrovos tvarkytuvą, pasirašytą su naujuoju "Windows" UEFI CA 2023 sertifikatu.
Šios rizikos mažinimo priemonės yra svarbios ilgalaikiam "Windows" tinkamumui naudoti šiuose įrenginiuose. Kadangi programinės-aparatinės įrangos "Microsoft Windows Production PCA 2011" sertifikato galiojimas baigsis 2026 m. spalio mėn., įrenginiuose turi būti įdiegtas naujas programinės-aparatinės įrangos "Windows UEFI CA 2023" sertifikatas iki galiojimo pabaigos arba įrenginys nebegalės gauti "Windows" naujinimų, nes jis taps pažeidžiama saugos būsena.
Informacijos, kaip taikyti "Mitigation 1" ir "Mitigation 2" dviem atskirais veiksmais (jei norite būti atsargesni, bent iš pradžių), žr. KB5025885: Kaip valdyti "Windows" įkrovos tvarkytuvo atšaukimus, skirtus saugiosios įkrovos pakeitimams, susietiems su CVE-2023-24932. Arba galite taikyti abu mažinimą vykdant šią vieno registro rakto operaciją administratoriaus teisėmis:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Taikant rizikos mažinimą, " AvailableUpdates " rakto bitai bus išvalyti. Nustačius ją į 0x140 ir paleidus iš naujo, reikšmė pasikeis į 0x100 tada, paleidus ją iš naujo iš naujo, ji pasikeis į 0x000.
Įkrovos tvarkytuvo mažinimas nebus taikomas, kol programinė-aparatinė įranga nurodys, kad sėkmingai pritaikytas 2023 m. sertifikato mažinimas. Šių operacijų atlikti negalima.
Kai taikomi abu mažinimai, registro raktas bus nustatytas nurodyti, kad sistema yra "2023 palaiko", tai reiškia, kad mediją galima atnaujinti ir rizikos mažinimo 3 ir rizikos mažinimo 4 galima taikyti.
Daugeliu atvejų baigiant rizikos mažinimą 1 ir rizikos mažinimą 2 reikia bent dviejų paleidimų iš naujo, kol rizikos mažinimas bus visiškai pritaikytas. Įtraukus papildomų paleidimų iš naujo jūsų aplinkoje bus užtikrinta, kad rizikos mažinimai bus taikomi anksčiau. Tačiau gali būti nepraktiška dirbtinai įleisti papildomų paleidimų iš naujo ir gali būti prasminga pasikliauti mėnesio paleidimu iš naujo, kuris įvyksta taikant saugos naujinimus. Tai reiškia, kad mažiau trikdoma jūsų aplinka, bet kyla pavojus ilgiau užsiauginti.
Įdiegę "Mitigation 1" ir "Mitigation 2" savo įrenginiuose, turėtumėte stebėti savo įrenginius, kad įsitikintumėte, jog jie turi taikomas rizikos mažinimo priemones ir dabar yra "2023 palaiko". Stebėjimą galima atlikti ieškant šio sistemos registro rakto. Jei raktas yra ir nustatytas kaip 1, sistema įtraukė 2023 sertifikatą į saugiosios įkrovos DB kintamąjį. Jei kodas yra ir nustatyta į 2, tada sistema turi 2023 sertifikatą DB ir prasideda 2023 m. pasirašytas įkrovos tvarkytuvas.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Rakto reikšmės pavadinimas |
WindowsUEFICA2023Capable |
|
|
Duomenų tipas |
REG_DWORD |
|
|
Duomenys |
0 arba nėra rakto – "Windows UEFI CA 2023" sertifikato nėra DB 1 - "Windows UEFI CA 2023" sertifikatas yra DB 2 – "Windows UEFI CA 2023" sertifikatas yra DB ir sistema yra pradedama nuo 2023 m. pasirašytas įkrovos tvarkytuvas. |
|
Atnaujinti paleidžiamą laikmeną
Jūsų įrenginiams pritaikius "Mitigation 1" ir "Mitigation 2", galite atnaujinti bet kurią paleidžiamą laikmeną, kurią naudojate savo aplinkoje. Atnaujinus paleidžiamą laikmeną, laikmenai taikomas PCA2023 pasirašytas įkrovos tvarkytuvas. Tai apima tinklo įkrovos atvaizdų (pvz., PxE ir HTTP), ISO vaizdų ir USB diskų naujinimą. Kitu atveju įrenginiai su mažinimais nebus paleisti iš įkrovos laikmenos, kuri naudoja senesnį "Windows" įkrovos tvarkytuvą ir 2011 CA.
Įrankiai ir rekomendacijos, kaip atnaujinti kiekvieno tipo paleidžiamą laikmeną, pateikiamos čia:
|
Medijos tipas |
Resursas |
|
ISO, USB atmintinės ir kt. |
|
|
PXE įkrovos serveris |
Dokumentacija, kurią reikia pateikti vėliau |
Vykstant medijos naujinimo procesui būtinai patikrinkite laikmeną naudodami įrenginį, kuriame yra visos keturios rizikos mažinimo priemonės. Galutiniai du pažeidžiamumą mažinančios priemonės blokuos senesnius, pažeidžiamus įkrovos tvarkytuvus. Laikmena su dabartiniais įkrovos vadovais yra svarbi šio proceso užbaigimo dalis.
Pastaba Įkrovos tvarkytuvo keitimų atšaukimo atakos yra realybė ir tikimės, kad bus nuolat atnaujinami "Windows" įkrovos tvarkytuvai, kad būtų išspręstos saugos problemos, todėl rekomenduojame įmonėms suplanuoti pusiau reguliarius medijos naujinimus ir taikyti procesus, kad medijos naujinimai būtų lengvi ir mažiau užtruks. Mūsų tikslas yra apriboti medijos įkrovos tvarkytuvo atnaujinimų skaičių ne daugiau kaip du kartus per metus, jei įmanoma.
Įkeliamoje laikmenoje nėra įrenginio sistemos disko, kuriame paprastai yra "Windows" ir nuo kurio paleidžiama automatiškai. Įkraunanti laikmena dažnai naudojama norint paleisti įrenginį, kuriame nėra paleidžiamos "Windows" versijos, o įkrovos laikmena dažnai naudojama "Windows" įdiegti įrenginyje.
UEFI saugiosios įkrovos parametrai nustato, kurie paleidimo tvarkytuvai bus patikimi naudojant saugiosios įkrovos DB (parašo duomenų bazė) ir DBX (draudžiamų parašų duomenų bazę). DB yra patikimos programinės įrangos maišos ir raktai, o DBX saugo atšauktas, pažeistas ir nepatikimas maišas bei kodus, kad paleidimo proceso metu nebūtų paleista nepatvirtinta arba kenkėjiška programinė įranga.
Naudinga pagalvoti apie skirtingas būsenas, kuriose gali būti įrenginys ir kokia paleidžiama laikmena gali būti naudojama su įrenginiu kiekvienoje iš šių būsenų. Visais atvejais programinė-aparatinė įranga nustato, ar ji turėtų pasitikėti įkrovos tvarkytuvu, su kuriuo ji pateikiama, ir, kai ji paleidžia įkrovos tvarkytuvą, programinė-aparatinė įranga nebekonsultuoja su DB ir DBX. Įkraunantysis laikmena gali naudoti 2011 CA pasirašytą įkrovos tvarkytuvą arba 2023 CA pasirašytą įkrovos tvarkytuvą, bet ne abu. Kitame skyriuje aprašoma, kas nurodo, kad įrenginys gali būti naudojamas, ir, kai kuriais atvejais, kokia laikmena gali būti paleista iš įrenginio.
Šie įrenginių scenarijai gali padėti planuojant rizikos mažinimų diegimą visuose įrenginiuose.
Nauji įrenginiai
Kai kurie nauji įrenginiai pradėjo siųsti tiek su 2011 m., tiek su 2023 m. CAs, iš anksto įdiegta įrenginio programinėje-aparatinėje įrangoje. Ne visi gamintojai perėjo prie abiejų įrenginių ir vis tiek gali siųsti įrenginius tik su iš anksto įdiegta 2011 CA.
-
Įrenginiai su 2011 m. ir 2023 M. CA gali paleisti mediją, kurioje yra 2011 CA pasirašytas įkrovos tvarkytuvas arba 2023 CA pasirašytas įkrovos tvarkytuvas.
-
Įrenginiuose, kuriuose įdiegta tik 2011 CA, galima paleisti laikmeną tik naudojant 2011 M. CA pasirašytą įkrovos tvarkytuvą. Daugelyje senesnių medijos failų yra 2011 m. CA pasirašytų įkrovos varžytuvas.
Įrenginiai su rizikos mažinimo priemonėmis 1 ir 2
Šie įrenginiai buvo iš anksto įdiegti su 2011 CA, o taikant "Mitigation 1" dabar įdiegta 2023 CA. Šie įrenginiai pasitiki abiem CA, todėl šie įrenginiai gali paleisti mediją su 2011 CA ir 2023 m. pasirašytu įkrovos tvarkytuvu.
Įrenginiai su rizikos mažinimo priemonėmis 3 ir 4
Šiuose įrenginiuose 2011 CA yra įtraukta į DBX ir nebebus pasitiki laikmena su 2011 CA pasirašyta įkrovos tvarkytuvu. Su šia konfigūracija įrenginys bus paleistas tik su 2023 CA pasirašytu įkrovos tvarkytuvu.
Saugiosios įkrovos nustatymas iš naujo
Jei saugiosios įkrovos parametrai buvo iš naujo nustatyti į numatytąsias reikšmes, visi rizikos mažinimai, kurie buvo taikomi DB (įtraukiant 2023 CA) ir DBX (nepatikimas 2011 CA) gali nebebūti. Veikimas priklausys nuo numatytųjų programinės-aparatinės įrangos parametrų.
DBX
Jei rizikos mažinimą 3 ir (arba) 4 buvo pritaikytas ir DBX yra išvalytas, tada 2011 CA nebus DBX sąraše ir vis tiek bus pasitikima. Jei taip nutinka, reikės iš naujo pritaikyti rizikos mažinimą 3 ir (arba) 4.
DB
Jei DB buvo 2023 CA ir ji pašalinama iš naujo nustačius saugiosios įkrovos parametrus į numatytuosius parametrus, sistema gali būti neįkrauta, jei įrenginys priklauso nuo 2023 CA pasirašyto paleidimo tvarkytuvo. Jei įrenginys neįkraunamas, naudokite KB5025885 aprašytą securebootrecovery.efi įrankį : Kaip valdyti "Windows" įkrovos tvarkytuvo saugiosios įkrovos keitimų, susijusių su CVE-2023-24932, atšaukimus , kad atkurtumėte sistemą.
Nepatikimas PCA2011 ir taikyti apsaugotos versijos numerį DBX
-
3 mažinimas: įgalinti atšaukimą Nepatikimas "Microsoft Windows Production PCA 2011" sertifikatas įtraukiant jį į programinę-aparatinę įrangą Saugiosios įkrovos DBX. Dėl to programinė-aparatinė įranga nepasitikės visais 2011 CA pasirašytu įkrovos tvarkytuvu ir bet kuria medija, kuri priklauso nuo 2011 M. CA pasirašyto paleidimo tvarkytuvo.
-
4 mažinimas: pritaikykite saugiosios versijos numerio naujinimą programinei-aparatinei įrangai Taiko saugiosios versijos numerio (SVN) naujinimą programinės-aparatinės įrangos saugiosios įkrovos DBX. Kai paleidžiamas 2023 m. pasirašytas įkrovos tvarkytuvas, jis atlieka savarankišką patikrinimą palygindamas programinėje-aparatinėje įrangoje saugomą SVN su SVN, integruotu į įkrovos tvarkytuvą. Jei įkrovos tvarkytuvas SVN yra mažesnis už programinę-aparatinę įrangą SVN, įkrovos tvarkytuvas neveiks. Ši funkcija neleidžia pažeidėjui grąžinti paleidimo tvarkytuvo į senesnę, neatnaujintą versiją. Būsimiems įkrovos tvarkytuvo saugos naujinimams SVN bus padidintas, o rizikos mažinimas 4 turės būti vėl pritaikytas.
Svarbu Rizikos mažinimas 1 ir rizikos mažinimas 2 turi būti baigtas prieš taikant Mitigation 3 ir Mitigation 4.
Informacijos apie tai, kaip taikyti rizikos mažinimo 3 ir rizikos mažinimo 4 dviem atskirais veiksmais (jei norite būti atsargesni, bent jau pirma) žr . KB5025885: Kaip valdyti "Windows" įkrovos tvarkytuvo atšauktuosius saugiosios įkrovos pakeitimus, susijusius su CVE-2023-24932 Arba galite taikyti abu mažinimus paleisdami vieną registro rakto operaciją kaip administratorius:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Taikant abu mažinimus kartu reikės paleisti iš naujo tik vieną kartą operacijai užbaigti.
-
3 mažinimas: Galite patikrinti, ar atšaukimo sąrašas sėkmingai pritaikytas ieškant įvykio ID: 1037 įvykių žurnale pagal KB5016061: saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai.Arba galite paleisti šią "PowerShell" komandą kaip administratorius ir įsitikinti, kad ji pateikia true:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
4 mažinimas: Metodo, kuris patvirtintų, kad taikomas SVN parametras, dar nėra. Ši sekcija bus atnaujinta, kai bus galimas sprendimas.
Nuorodos
KB5016061: saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai
