Introdução
A Microsoft tomou conhecimento de uma vulnerabilidade no gerenciador de inicialização do Windows que permite que um invasor ignore a Inicialização Segura. O problema no gerenciador de inicialização foi corrigido e lançado como uma atualização de segurança. A vulnerabilidade restante é que um invasor com privilégios administrativos ou acesso físico ao dispositivo pode reverter o gerenciador de inicialização para uma versão sem a correção de segurança. Essa vulnerabilidade de reversão está sendo usada pelo malware BlackLotus para ignorar a Inicialização Segura descrita por CVE-2023-24932. Para resolver esse problema, revogaremos os gerenciadores de inicialização vulneráveis.
Devido ao grande número de gerenciadores de inicialização que devem ser bloqueados, estamos usando uma forma alternativa de bloquear os gerenciadores de inicialização. Isso afeta os sistemas operacionais não Windows, pois uma correção terá de ser fornecida nesses sistemas para impedir que os gerenciadores de inicialização do Windows sejam usados como um vetor de ataque em sistemas operacionais não Windows.
Mais informações
Um método de impedir que binários de aplicativos EFI vulneráveis sejam carregados pelo firmware é adicionar hashes dos aplicativos vulneráveis à Lista Proibida de UEFI (DBX). A lista DBX é armazenada no flash gerenciado por firmware do dispositivo. A limitação desse método de bloqueio é a memória flash de firmware limitada disponível para armazenar o DBX. Devido a essa limitação e ao grande número de gerenciadores de inicialização que devem ser bloqueados (gerenciadores de inicialização do Windows dos últimos 10 anos), não é possível depender inteiramente do DBX para esse problema.
Para esse problema, escolhemos um método híbrido de bloquear os gerenciadores de inicialização vulneráveis. Apenas alguns gerenciadores de inicialização lançados em versões anteriores do Windows serão adicionados ao DBX. Para Windows 10 versões posteriores, será usada uma política Windows Defender WDAC (Controle de Aplicativos) que bloqueia gerenciadores de inicialização vulneráveis do Windows. Quando a política é aplicada a um sistema Windows, o gerenciador de inicialização irá “bloquear” a política para o sistema adicionando uma variável ao firmware UEFI. Os gerenciadores de inicialização do Windows respeitarão a política e o bloqueio UEFI. Se o bloqueio UEFI estiver em vigor e a política tiver sido removida, o gerenciador de inicialização do Windows não será iniciado. Se a política estiver em vigor, o gerenciador de inicialização não será iniciado se tiver sido bloqueado pela política.
Orientação para bloquear gerenciadores de inicialização vulneráveis do Windows
OBSERVAÇÃO Os usuários devem ter a opção de aplicar a variável para que possam controlar quando estão protegidos.
Habilitar o bloqueio UEFI fará com que a mídia inicializável existente do Windows pare de inicializar até que a mídia seja atualizada com as atualizações do Windows lançadas em ou após 9 de maio de 2023. A orientação para atualização de mídia pode ser encontrada em KB5025885: Como gerenciar as revogações do Gerenciador de Inicialização do Windows para alterações de inicialização segura associadas a CVE-2023-24932.
-
Para sistemas habilitados para Inicialização de Segura que inicializam apenas sistemas operacionais não Windows
Para sistemas que iniciam apenas sistemas operacionais não Windows e nunca iniciarão o Windows, essas mitigações podem ser aplicadas ao sistema imediatamente. -
Para sistemas Windows de inicialização dupla e outro sistema operacional
Para sistemas que iniciam o Windows, as mitigações não Windows devem ser aplicadas somente após o sistema operacional Windows ter sido atualizado para as atualizações do Windows lançadas em ou após 9 de maio de 2023.
Criar o Bloqueio UEFI
O Bloqueio UEFI possui duas variáveis necessárias para evitar ataques de reversão no gerenciador de inicialização do Windows. Essas variáveis são as seguintes:
-
Atributos de SKU SiPolicy
Esta política tem os seguintes atributos:
-
ID do Tipo de Política:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Nome de arquivo específico de “SkuSiPolicy.p7b”
-
Localização física específica de EFI\Microsoft\Boot
Como todas as políticas WDAC assinadas, uma Política SKU assinada é protegida por duas variáveis UEFI:
-
SKU_POLICY_VERSION_NAME: “SkuSiPolicyVersion”
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: “SkuSiPolicyUpdateSigners”
-
-
Variáveis SKU SiPolicy
Esta política usa duas variáveis UEFI armazenadas no EFI Namespace/Fornecedor
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
é do tipo ULONGLONG/UInt64 em tempo de execução
-
é definido por <VersionEx>2.0.0.2</VersionEx> dentro da política XML na forma de (MAJOR.MINOR.REVISION.BUILDNUMBER)
-
É traduzido para ULONGLONG como
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)
Cada número de versão tem 16 bits, portanto, tem um total de 64 bits.
-
A versão da política mais recente deve ser igual ou superior à versão armazenada na variável UEFI em tempo de execução.
-
Descrição: define a versão da política de inicialização de integridade de código.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guia de Namespace:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Tipo de dados:
uint8_t[8]
-
Dados:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Deve ser o signatário do Windows.
-
Descrição: informações do signatário da política.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guia de Namespace:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Tipo de dados:
uint8_t[131]
-
Dados:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
Aplicar DBX
Lançamos o arquivo DbxUpdate.bin para esse problema em UEFI.org. Esses hashes incluem todos os gerenciadores de inicialização do Windows revogados lançados entre o Windows 8 e a versão inicial do Windows 10 que não respeitam a Política de Integridade do Código.
É de extrema importância que eles sejam aplicados com cuidado devido ao risco de quebrar um sistema de inicialização dupla que usa vários sistemas operacionais e um desses gerenciadores de inicialização. A curto prazo, recomendamos que para qualquer sistema, esses hashes sejam aplicados opcionalmente.
