Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Innledning

Microsoft ble gjort oppmerksom på et sikkerhetsproblem med Windows-oppstartsbehandling som gjør det mulig for en angriper å omgå sikker oppstart. Problemet i oppstartsbehandlingen ble løst og utgitt som en sikkerhetsoppdatering. Det gjenværende sikkerhetsproblemet er at en angriper med administrative rettigheter eller fysisk tilgang til enheten kan rulle tilbake oppstartsbehandlingen til en versjon uten sikkerhetsløsningen. Dette sikkerhetsproblemet for tilbakerulling brukes av blacklotus-skadelig programvare for å omgå sikker oppstart som er beskrevet av CVE-2023-24932. For å løse dette problemet tilbakekaller vi de sårbare oppstartsbehandlerne.

På grunn av det store antallet oppstartsbehandlere som må blokkeres, bruker vi en alternativ måte å blokkere oppstartsansvarlige på. Dette påvirker ikke-Windows-operativsystemer ved at en løsning må leveres på disse systemene for å blokkere Windows-oppstartsbehandlere fra å bli brukt som angrepsvektor på ikke-Windows-operativsystemer.

Mer informasjon

Én metode for å blokkere sårbare binærfiler for EFI-programmer fra å lastes inn av fastvaren, er å legge til hash-koder for de sårbare programmene i UEFI-listen (DBX). DBX-listen lagres i fastvareadministrert flash for enheter. Begrensningen for denne blokkeringsmetoden er det begrensede fastvareminnet som er tilgjengelig for lagring av DBX. På grunn av denne begrensningen og det store antallet oppstartsbehandlere som må blokkeres (Windows-oppstartsansvarlige fra de siste 10+ årene), er det ikke mulig å stole fullstendig på DBX for dette problemet.

For dette problemet har vi valgt en hybrid metode for å blokkere de sårbare oppstartsbehandlerne. Bare noen få oppstartsbehandlere som ble utgitt i tidligere versjoner av Windows, legges til I DBX. For Windows 10 og nyere versjoner brukes en WDAC-policy (Windows Defender Application Control) som blokkerer sårbare Windows-oppstartsbehandlinger. Når policyen brukes på et Windows-system, vil oppstartsbehandlingen «låse» policyen til systemet ved å legge til en variabel i UEFI-fastvaren. Windows-oppstartsbehandlere respekterer policyen og UEFI-låsen. Hvis UEFI-låsen er på plass og policyen er fjernet, starter ikke Oppstartsbehandling for Windows. Hvis policyen er på plass, starter ikke oppstartsbehandlingen hvis den er blokkert av policyen.

Veiledning for blokkering av sårbare Windows-oppstartsledere

MERK Brukere bør få muligheten til å bruke variabelen slik at de kan kontrollere når de er beskyttet.

Aktivering av UEFI-lås vil føre til at eksisterende oppstartbare Windows-medier stopper oppstarten til mediene oppdateres med Windows-oppdateringene utgitt 9. mai 2023. Du finner veiledning for oppdatering av medier i KB5025885: Slik administrerer du tilbakekallinger av Windows Boot Manager for endringer i sikker oppstart som er knyttet til CVE-2023-24932.

  • For systemer som er aktivert for sikker oppstart, som bare starter opp ikke-Windows-operativsystemer

    For systemer som bare starter ikke-Windows-operativsystemer og aldri vil starte Windows, kan disse begrensningene brukes på systemet umiddelbart.

  • For systemer med dobbel oppstart av Windows og et annet operativsystem

    For systemer som starter Windows, bør ikke-Windows-begrensningene bare brukes etter at Windows-operativsystemet er oppdatert til Windows-oppdateringene som ble utgitt 9. mai 2023.

Opprett UEFI Lock

UEFI Lock har to variabler som kreves for å forhindre tilbakerullingsangrep i Windows oppstartsbehandling. Disse variablene er som følger:

  • SKU SiPolicy-attributter

    Denne policyen har følgende attributter:

    • Policytype-ID:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Bestemt filnavn for "SkuSiPolicy.p7b"

    • Spesifikk fysisk plassering av EFI\Microsoft\Boot

    Som alle signerte WDAC-policyer er en signert SKU-policy beskyttet av to UEFI-variabler:

    • SKU_POLICY_VERSION_NAME: «SkuSiPolicyVersion»

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: «SkuSiPolicyUpdateSigners»

  • SKU SiPolicy-variabler

    Denne policyen bruker to UEFI-variabler som er lagret under EFI-navneområdet/-leverandøren
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};

    • SkuSiPolicyVersion

      • er av typen ULONGLONG/UInt64 ved kjøretid

      • defineres av <VersionEx>2.0.0.2</VersionEx> i POLICY XML i form av (MAJOR). MINDRE. REVISJON. BUILDNUMBER)

      • Den oversettes til ULONGLONG som

        ((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)

        Hvert versjonsnummer har 16 biter, så det har totalt 64 biter.

      • Den nyere policyversjonen må være lik eller større enn versjonen som er lagret i UEFI-variabelen under kjøring.

      • Beskrivelse: Angi policyversjonen for oppstart av kodeintegritet.

      • Attributter:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Navneområde-GUID:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Datatype:

        uint8_t[8]

      • Data:

        uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };

    • SkuSiPolicyUpdateSigners

      • Må være Windows-signataren.

      • Beskrivelse: Policy signatar informasjon.

      • Attributter:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • Navneområde-GUID:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Datatype:

        uint8_t[131]

      • Data:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00

              0x00, 0x00, 0x00};

Bruk DBX

Vi har lansert DbxUpdate.bin-filen for dette problemet på UEFI.org. Disse hash-kodene inkluderer alle tilbakekalte Windows-oppstartsbehandlere som er utgitt mellom Windows 8 og den første utgivelsen av Windows 10 som ikke respekterer policyen for kodeintegritet.

Det er av største betydning at disse brukes med forsiktighet på grunn av risikoen for at de kan bryte et dobbelt oppstartssystem som bruker flere operativsystemer og en av disse oppstartsbehandlerne. På kort sikt anbefaler vi at disse hash-kodene brukes på et hvilket som helst system.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×