Inleiding
Microsoft is op de hoogte gesteld van een beveiligingsprobleem met Windows-opstartbeheer waardoor een aanvaller beveiligd opstarten kan omzeilen. Het probleem in opstartbeheer is opgelost en uitgebracht als een beveiligingsupdate. Het resterende beveiligingsprobleem is dat een aanvaller met beheerdersbevoegdheden of fysieke toegang tot het apparaat het opstartbeheer kan terugdraaien naar een versie zonder de beveiligingsoplossing. Dit beveiligingsprobleem met terugdraaien wordt gebruikt door de BlackLotus-malware om Secure Boot te omzeilen, beschreven door CVE-2023-24932. Om dit probleem op te lossen, trekken we de kwetsbare opstartbeheerders in.
Vanwege het grote aantal opstartmanagers dat moet worden geblokkeerd, gebruiken we een alternatieve manier om de opstartmanagers te blokkeren. Dit is van invloed op niet-Windows-besturingssystemen omdat er een oplossing moet worden geboden op die systemen om te voorkomen dat de Windows-opstartmanagers worden gebruikt als een aanvalsvector op niet-Windows-besturingssystemen.
Meer informatie
Een methode om te voorkomen dat binaire bestanden van kwetsbare EFI-toepassingen door de firmware worden geladen, is het toevoegen van hashes van de kwetsbare toepassingen aan de UEFI Forbidden List (DBX). De DBX-lijst wordt opgeslagen in de door firmware beheerde flash van het apparaat. De beperking van deze blokkeringsmethode is het beperkte flashgeheugen van de firmware dat beschikbaar is om de DBX op te slaan. Vanwege deze beperking en het grote aantal opstartmanagers dat moet worden geblokkeerd (Windows-opstartmanagers van de afgelopen tien jaar) is het niet mogelijk om volledig te vertrouwen op de DBX voor dit probleem.
Voor dit probleem hebben we een hybride methode gekozen om de kwetsbare opstartmanagers te blokkeren. Slechts enkele opstartmanagers die zijn uitgebracht in eerdere versies van Windows, worden toegevoegd aan de DBX. Voor Windows 10 en latere versies wordt een wdac-beleid (Windows Defender Application Control) gebruikt dat kwetsbare Windows-opstartbeheerders blokkeert. Wanneer het beleid wordt toegepast op een Windows-systeem, zal de opstartmanager het beleid 'vergrendelen' aan het systeem door een variabele toe te voegen aan de UEFI-firmware. Windows-opstartmanagers zullen het beleid en de UEFI-vergrendeling naleefen. Als de UEFI-vergrendeling aanwezig is en het beleid is verwijderd, wordt windows opstartbeheer niet gestart. Als het beleid is ingesteld, wordt het opstartbeheer niet gestart als deze is geblokkeerd door het beleid.
Richtlijnen voor het blokkeren van kwetsbare Windows-opstartbeheerders
OPMERKING Gebruikers moeten de optie krijgen om de variabele toe te passen, zodat ze kunnen bepalen wanneer ze worden beveiligd.
Het inschakelen van de UEFI-vergrendeling zorgt ervoor dat bestaande opstartbare Windows-media stoppen met opstarten totdat de media wordt bijgewerkt met de Windows-updates die zijn uitgebracht op of na 9 mei 2023. Richtlijnen voor het bijwerken van media vindt u in KB5025885: De intrekkingen van Windows Boot Manager beheren voor wijzigingen in beveiligd opstarten die zijn gekoppeld aan CVE-2023-24932.
-
Voor systemen met beveiligd opstarten die alleen niet-Windows-besturingssystemen
opstarten Voor systemen die alleen niet-Windows-besturingssystemen starten en Windows nooit zullen starten, kunnen deze oplossingen onmiddellijk worden toegepast op het systeem. -
Voor systemen dual booting Windows en een ander besturingssysteem
Voor systemen die Windows starten, moeten de niet-Windows-oplossingen alleen worden toegepast nadat het Windows-besturingssysteem is bijgewerkt naar de Windows-updates die zijn uitgebracht op of na 9 mei 2023.
De UEFI-vergrendeling maken
De UEFI-vergrendeling heeft twee variabelen die vereist zijn om terugdraaiaanvallen in Windows-opstartbeheer te voorkomen. Deze variabelen zijn als volgt:
-
SKU SiPolicy-kenmerken
Dit beleid heeft de volgende kenmerken:
-
Beleidstype-id:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Specifieke bestandsnaam van 'SkuSiPolicy.p7b'
-
Specifieke fysieke locatie van EFI\Microsoft\Boot
Net als alle ondertekende WDAC-beleidsregels wordt een ondertekend SKU-beleid beveiligd door twee UEFI-variabelen:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
SKU SiPolicy-variabelen
Dit beleid maakt gebruik van twee UEFI-variabelen die zijn opgeslagen onder de EFI-naamruimte/leverancier
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
is van het type ULONGLONG/UInt64 tijdens runtime
-
wordt gedefinieerd door <VersionEx>2.0.0.2</VersionEx> in beleids-XML in de vorm van (MAJOR. KLEINE. HERZIENING. BUILDNUMBER)
-
Het wordt vertaald in ULONGLONG als
((major##ULL << 48) + (minor##ULL << 32) + (revisie##ULL << 16) + buildnummer)
Elk versienummer heeft 16 bits, dus in totaal 64 bits.
-
De nieuwere beleidsversie moet gelijk zijn aan of groter zijn dan de versie die tijdens runtime is opgeslagen in de UEFI-variabele.
-
Beschrijving: set is de versie van het opstartbeleid voor code-integriteit.
-
Kenmerken:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Naamruimte-GUID:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Gegevenstype:
uint8_t[8]
-
Gegevens:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Moet de Windows-ondertekenaar zijn.
-
Beschrijving: Informatie over beleidsondertekening.
-
Kenmerken:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Naamruimte-GUID:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Gegevenstype:
uint8_t[131]
-
Gegevens:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
DbX toepassen
We hebben het bestand DbxUpdate.bin voor dit probleem uitgebracht op UEFI.org. Deze hashes omvatten alle ingetrokken Windows-opstartmanagers die zijn uitgebracht tussen Windows 8 en de eerste release van Windows 10 die het code-integriteitsbeleid niet respecteren.
Het is van het grootste belang dat deze met zorg worden toegepast vanwege het risico dat ze een dual boot-systeem kunnen breken dat gebruikmaakt van meerdere besturingssystemen en een van deze opstartbeheerders. Op de korte termijn raden we aan om voor elk systeem deze hashes optioneel toe te passen.
