Diretrizes da Microsoft para aplicar a atualização de Inicialização Segura DBX (KB4575994)

Aplicar uma atualização DBX no Windows

Após ler os avisos na seção anterior e verificar se seu dispositivo é compatível, siga estas etapas para atualizar o DBX de Inicialização Segura:

1. Baixe o Arquivo de Lista de Revogação de UEFI (Dbxupdate.bin) apropriado para sua plataforma desta pagina da web de UEFI.

2. Você terá que dividir o arquivo Dbxupdate.bin nos componentes necessários para aplicá-los usando cmdlets do PowerShell. Para fazer isso, siga estas etapas:

   1. Baixe o script do PowerShell em esta página da Web da Galeria do PowerShell.

   2. Para ajudar a localizar o script, execute o seguinte cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Verifique se o cmdlet baixa o script com êxito e fornece detalhes de saída, incluindo Nome, Versão, Autor, PublishedDate, InstalledDate e InstalledLocation.

   4. Execute os cmdlets a seguir:

      • [string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • ls

   5. Verifique se o arquivo SplitDbxContent.ps1 agora está na pasta Scripts.

   6. Execute o seguinte script do PowerShell no arquivo Dbxupdate.bin:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Verifique se o comando criou os seguintes arquivos.

      

      • Content.bin — atualizar conteúdos

      • Signature.p7 — assinatura que autoriza o processo de atualização

3. Em uma sessão administrativa do PowerShell, execute o cmdlet Set-SecureBootUefi para aplicar a atualização DBX:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Saída esperada
   
   

4. Para concluir o processo de instalação da atualização, reinicie o dispositivo.

Para obter mais informações sobre o cmdlet de configuração de Inicialização Segura e como usá-lo para atualizações DBX, consulte Set-Secure.

Verificando se uma atualização foi aplicada com êxito  

Depois de concluir com êxito as etapas da seção anterior e reiniciar o dispositivo, siga estas etapas para verificar se a atualização foi aplicada com êxito. Após a verificação bem-sucedida, seu dispositivo não será mais afetado pela vulnerabilidade GRUB.

1. Baixe os scripts de verificação de atualização DBX em esta página da web do GitHub Gist.

2. Extraia os scripts e binários do arquivo compactado.

3. Execute o seguinte script PowerShell dentro da pasta que contém os scripts expandidos e binários para verificar a atualização DBX: 
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Observação: Se uma atualização DBX que corresponde às versões de julho de 2020 ou outubro de 2020 deste arquivo de arquivo de lista de revogação foi aplicado, execute o seguinte comando apropriado: 
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 '.\dbx-2020-October.bin' 

4. Verifique se a saída corresponde ao resultado esperado:
   
   

Perguntas frequentes

P1: O que significa a mensagem de erro "Get-SecureBootUEFI: Cmdlets sem suporte nesta plataforma"?

R1: Esta mensagem de erro indica que NENHUM recurso de Inicialização Segura está habilitado no computador. Portanto, este dispositivo NÃO é afetado pela vulnerabilidade GRUB. Nenhuma ação adicional é necessária.

P2: Como configuro o dispositivo para confiar ou não em UEFI CA de terceiros? 

R2: Recomendamos que você consulte seu fornecedor OEM. 

Para o Microsoft Surface, altere a configuração de Inicialização Segura para “Microsoft Only” e execute o seguinte comando do PowerShell (o resultado deve ser “False”): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Para obter mais informações sobre como configurar o Microsoft Surface, consulte Gerenciar configurações de UEFI do Surface — Surface | Microsoft Docs.

P3: Esse problema afeta as máquinas virtuais Azure IaaS Geração 1 e Geração 2? 

R3: Não. As máquinas virtuais convidadas do Azure Gen1 e Gen2 não oferecem suporte ao recurso de Inicialização Segura. Portanto, eles não são afetados pela cadeia de ataque de confiança. 

P4: O ADV200011 e CVE-2020-0689 referem-se à mesma vulnerabilidade relacionada à Inicialização Segura? 

R: Não. Esses avisos de segurança descrevem vulnerabilidades diferentes. "ADV200011" refere-se a uma vulnerabilidade no GRUB (componente do Linux) que pode causar um bypass da Inicialização Segura. "CVE-2020-0689" refere-se a uma vulnerabilidade de bypass de recurso de segurança que existe na Inicialização Segura. 

P5: Não consigo executar nenhum dos scripts do PowerShell. O que devo fazer?

R: Verifique a política de execução do PowerShell executando o comando Get-ExecutionPolicy. Dependendo da saída, pode ser necessário atualizar a política de execução:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) — PowerShell | Microsoft Docs