Kopsavilkums
2020. gada 29. jūlijā microsoft publicēja drošības 200011 kas apraksta jaunu ievainojamību, kas saistīta ar drošo sāknēšanas programmu. Ierīces, kas uzticas Microsoft trešās puses vienotās paplašināmās aparātprogrammatūras interfeisa (UEFI) sertificēšanas iestādes (CA) drošās sāknēšanas konfigurācijām, var būt nosakošs uzbrucējam, kuram ir administratīvas tiesības vai fiziska piekļuve ierīcei.
Šajā rakstā sniegti norādījumi, kā lietot jaunāko Secure Boot DBX atsaukšanas sarakstu, lai neaizsargātos moduļus padarītu nederīgus. Microsoft pašpiegādes atjauninājumu, lai Windows Update novērstu šo ievainojamību 2022. gada pavasarim.
Drošās sāknēšanas atjaunināšanas bināri tiek viesoti šajā UEFI tīmekļa lapā.
Publicētie faili ir šādi:
-
UEFI atsaukšanas saraksta fails x86 versijai (32 bitu versija)
-
UEFI atsaukšanas saraksta fails x64 bitu versijai (64 bitu)
-
Arm64 UEFI atsaukšanas saraksta fails
Pēc tam, kad šīs jaukšanas vadīklas ir pievienotas drošai sāknēšanas DBX ierīcei, šīs lietojumprogrammas vairs netiks ielādētas.
Svarīgi!: Šī vietne vieso katras arhitektūras failus. Katrā viesotajā failā ir tikai lietojumprogrammu jaukšana, kas attiecas uz konkrēto arhitektūru. Jums ir jālieto kāds no šiem failiem visās ierīcēs, taču pārliecinieties, vai lietojat failu, kas attiecas uz tā arhitektūru. Lai gan ir tehniski iespējams lietot citas arhitektūras atjauninājumu, atbilstošo atjauninājumu neinstalējot, ierīce netiks aizsargāta.
Uzmanību! Pirms šo darbību veikšanas izlasiet galveno konsultāciju rakstu par šo ievainojamību. Nepareizi lietojot DBX atjauninājumus, ierīce var tikt startēta.
Veiciet šīs darbības tikai tad, ja izpildās šis nosacījums:
-
Jūs nepaļaujaties uz to lietojumprogrammu startēšanu, kuras bloķē šis atjauninājums.
Papildinformācija
DBX atjauninājuma lietošanas operētājsistēmā Windows
Pēc tam, kad esat izlasījis iepriekšējā sadaļā minētos brīdinājumus un pārbaudījiet, vai jūsu ierīce ir saderīga, veiciet tālāk norādītās darbības, lai atjauninātu Secure Boot DBX.
-
Lejupielādējiet atbilstošo UEFI atsaukšanas saraksta failu (Dbxupdate.bin) platformai no šīs UEFI tīmekļa lapas.
-
Fails Dbxupdate.bin ir jāsadala nepieciešamajās komponentos, lai tos lietotu, izmantojot PowerShell cmdlet. Lai to izdarītu, veiciet tālāk norādītās darbības.
-
Lejupielādējiet PowerShell skriptu no šīs PowerShell galerijas tīmekļa lapas.
-
Lai palīdzētu atrast skriptu, palaidiet šādu cmdlet:
-
Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation
-
-
Pārbaudiet, vai cmdlet sekmīgi lejupielādē skriptu un nodrošina detalizētu informāciju par izvadi, tostarp name, Version, Author, PublishedDate, InstalledDate un InstalledLocation.
-
Palaidiet šādas cmdlet:
-
[string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)
-
cd $ScriptPath
-
ls
-
-
Pārbaudiet, SplitDbxContent.ps1 fails tagad atrodas mapē Skripti.
-
Failā Dbxupdate.bin izpildiet šādu PowerShell skriptu SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin":
-
Pārbaudiet, vai komanda ir izveidojusi šādus failus.
-
Content.bin — satura atjaunināšana
-
Signature.p7 — paraksts, kas autorē atjaunināšanas procesu
-
-
-
Administratīvās PowerShell sesijā izpildiet Set-SecureBootUefi cmdlet, lai lietotu DBX atjauninājumu:
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
Sagaidāmā izvade
-
Lai pabeigtu atjaunināšanas instalēšanu, restartējiet ierīci.
Papildinformāciju par drošās palaišanas konfigurācijas cmdlet un tā izmantošanu DBX atjauninājumiem skatiet rakstā Droša iestatīšana.
Pārbaude, vai atjauninājums ir sekmīgs
Kad esat sekmīgi izpildījis iepriekšējā sadaļā norādītās darbības un restartējat ierīci, veiciet tālāk norādītās darbības, lai pārbaudītu, vai atjaunināšana tika lietota sekmīgi. Pēc sekmīgas pārbaudes uz jūsu ierīci vairs netiks ietekmēta ARCD ievainojamība.
-
Lejupielādējiet DBX atjaunināšanas pārbaudes skriptus no šīs GitHub Gist tīmekļa lapas.
-
Izvelciet skriptus un nodalījumus no saspiestā faila.
-
Lai pārbaudītu DBX atjauninājumu, mapē, kurā ir izvērstie skripti un binas, palaidiet šādu PowerShell skriptuCheck-Dbx.ps1 '.\dbx-2021-April.bin'
-
Pārbaudiet, vai izvade atbilst sagaidāmajam rezultātam.
Bieži uzdotie jautājumi
1. problēma. Ko nozīmē kļūdas ziņojums "Get-SecureBootUEFI: Cmdlets, kas netiek atbalstīti šajā platformā"?
A1: Šis kļūdas ziņojums norāda, ka datorā nav iespējots drošas sāknēšanas līdzeklis. Tāpēc uz šo ierīci NEATTIECAS UZ UZ KĀR šīs ierīces ievainojamība. Nekādas turpmākas darbības nav jāveic.
2. problēma. Kā konfigurēt ierīci, lai tā uzticētos trešās puses UEFI CA vai neuzticaties tam?
A2: Iesakām konsultēties ar sava OEM piegādātāju.
Ierīcē Microsoft Surface mainiet drošās sāknēšanas iestatījumu uz "Microsoft Only" un pēc tam izpildiet šādu PowerShell komandu (rezultātam ir jābūt "Aplams"):
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'
Papildinformāciju par to, kā konfigurēt Microsoft Surface ierīcei, skatiet rakstā Surface UEFI iestatījumu pārvaldība — Surface | Microsoft Docs.
3. problēma Vai šī problēma ietekmē Azure IaaS 1. un 2. paaudzes virtuālās mašīnas?
A3: Nē. Azure viesu virtuālās mašīnas Gen1 un Gen2 neatbalsta drošās sāknēšanas līdzekli. Tāpēc tos neietekmē uzticēšanās uzbrukums.
4. problēma. Vai ADV200011 un CVE-2020-0689 atsaucas uz to pašu ievainojamību, kas saistīta ar drošo sāknēšanu?
A: Nē. Šie drošības padomnieki apraksta dažādas ievainojamības. "ADV200011" atsaucas uz IEVAINOJAMĪBU LINUX komponentā (Linux), kas var izraisīt drošas sāknēšanas apiešanu. "CVE-2020-0689" attiecas uz drošības līdzekli, kas apiet ievainojamību, kas pastāv drošajā sāknē.
5. problēma: nevaru palaist kādu no PowerShell skriptiem. Kā man rīkoties?
A: Pārbaudiet PowerShell izpildes politiku, palaižot komandu Get-ExecutionPolicy . Atkarībā no izvades, iespējams, būs jāatjaunina izpildes politika:
Šajā rakstā iztirzātos trešo pušu produktus ražo no korporācijas Microsoft neatkarīgi uzņēmumi. Korporācija Microsoft nesniedz nekādas garantijas, tiešas vai netiešas, saistībā ar šo produktu veiktspēju vai uzticamību.
Microsoft nodrošina trešās puses kontaktinformāciju, lai palīdzētu jums atrast papildinformāciju par šo tēmu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja brīdinājuma. Korporācija Microsoft negarantē trešo pušu kontaktinformācijas precizitāti.
Attiecas uz:
Windows 10 32
bitu sistēmām Windows 10 x64
sistēmām Windows 10 2004. gada versija 32
bitu sistēmām Windows 10 2004. gada versija ARM64
sistēmām Windows 10 2004. gada versija x64
sistēmām Windows 10 1909 versija 32- bitu sistēmas
Windows 10 ARM64
sistēmām Windows 10 1909 versija Windows 10 1909 x64
sistēmām Windows 10 1903 versija 32
bitu sistēmām Windows 10 ARM64
sistēmām versija 1903 Windows 10 1903 x64
bitu sistēmām Windows 10 1809 versija 32
bitu sistēmām Windows 10 ARM64
sistēmām Windows 10 versija 1809 Windows 10 x64
bitu sistēmām Windows 10 1803 versija 32
bitu sistēmām Windows 10 1803 versija ARM64
sistēmām Windows 10 1803 x64 bitu sistēmām
Windows 10 1709 versija 32
bitu sistēmām Windows 10 ARM64
sistēmas versija 1709 Windows 10 1709 versija x64 sistēmām Windows 10 1607 versija 32
bitu sistēmām Windows 10 1607 versija x64
sistēmām
Windows 8.1 32 bitu sistēmām
Windows 8.1 x64 sistēmām
Windows RT 8.1
Windows Server, versija 2004 (Server Core instalēšana)
Windows Server, versija 1909 (Server Core instalēšana)
Windows Server, versija 1903 (Server Core instalēšana)
Windows Server 2019
Windows Server 2019 (Server Core instalēšana)
Windows Server 2016
Windows Server 2016 (Server Core instalēšana)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core instalēšana)
Windows Server 2012
Windows Server 2012 (Server Core instalēšana)
