Introdução
A Microsoft foi informada de uma vulnerabilidade com o gestor de arranque do Windows que permite que um atacante ignore o Arranque Seguro. O problema no gestor de arranque foi corrigido e lançado como uma atualização de segurança. A vulnerabilidade restante é que um atacante com privilégios administrativos ou acesso físico ao dispositivo pode reverter o gestor de arranque para uma versão sem a correção de segurança. Esta vulnerabilidade de reversão está a ser utilizada pelo software maligno BlackLotus para ignorar o Arranque Seguro descrito pelo CVE-2023-24932. Para resolver este problema, vamos revogar os gestores de arranque vulneráveis.
Devido ao grande número de gestores de arranque que têm de ser bloqueados, estamos a utilizar uma forma alternativa de bloquear os gestores de arranque. Isto afeta os sistemas operativos não Windows na medida em que terá de ser fornecida uma correção nesses sistemas para impedir que os gestores de arranque do Windows sejam utilizados como um vetor de ataque em sistemas operativos não Windows.
Mais informações
Um método para impedir que os binários de aplicações EFI vulneráveis sejam carregados pelo firmware é adicionar hashes das aplicações vulneráveis à Lista Proibida de UEFI (DBX). A lista DBX é armazenada no flash gerido pelo firmware dos dispositivos. A limitação deste método de bloqueio é a memória flash de firmware limitada disponível para armazenar o DBX. Devido a esta limitação e ao grande número de gestores de arranque que têm de ser bloqueados (gestores de arranque do Windows dos últimos 10 anos), não é possível confiar inteiramente no DBX para este problema.
Para este problema, escolhemos um método híbrido para bloquear os gestores de arranque vulneráveis. Apenas alguns gestores de arranque lançados em versões anteriores do Windows serão adicionados ao DBX. Para Windows 10 e versões posteriores, será utilizada uma política Windows Defender Application Control (WDAC) que bloqueia os gestores de arranque vulneráveis do Windows. Quando a política é aplicada a um sistema Windows, o gestor de arranque irá "bloquear" a política ao sistema ao adicionar uma variável ao firmware UEFI. Os gestores de arranque do Windows respeitarão a política e o bloqueio UEFI. Se o bloqueio UEFI estiver implementado e a política tiver sido removida, o gestor de arranque do Windows não será iniciado. Se a política estiver implementada, o gestor de arranque não será iniciado se tiver sido bloqueada pela política.
Documentação de orientação para bloquear gestores de arranque vulneráveis do Windows
NOTA Os utilizadores devem ter a opção de aplicar a variável para que possam controlar quando estão protegidos.
Ativar o bloqueio UEFI fará com que os suportes de dados windows de arranque existentes deixem de arrancar até que o suporte de dados seja atualizado com as atualizações do Windows lançadas a 9 de maio de 2023 ou depois de 9 de maio de 2023. Pode encontrar orientações para atualizar o suporte de dados na atualização KB5025885: Como gerir as revogações do Gestor de Arranque do Windows para alterações de Arranque Seguro associadas ao CVE-2023-24932.
-
Para sistemas preparados para Arranque Seguro que só estão a arrancar sistemas operativos
não Windows Para sistemas que estão apenas a iniciar sistemas operativos não Windows e nunca iniciarão o Windows, estas mitigações podem ser aplicadas ao sistema imediatamente. -
Para sistemas de arranque duplo do Windows e outro sistema
operativo Para sistemas que iniciam o Windows, as mitigações não Windows só devem ser aplicadas depois de o sistema operativo Windows ter sido atualizado para as atualizações do Windows lançadas a 9 de maio de 2023 ou depois de 9 de maio de 2023.
Criar o Bloqueio UEFI
O Bloqueio UEFI tem duas variáveis necessárias para evitar ataques de reversão no gestor de arranque do Windows. Estas variáveis são as seguintes:
-
Atributos SiPolicy do SKU
Esta política tem os seguintes atributos:
-
ID do Tipo de Política:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Nome de ficheiro específico de "SkuSiPolicy.p7b"
-
Localização física específica de EFI\Microsoft\Boot
Tal como todas as políticas WDAC assinadas, uma Política de SKU assinada está protegida por duas variáveis UEFI:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
Variáveis
SKU SiPolicy Esta política utiliza duas variáveis UEFI armazenadas no Espaço de Nomes EFI/Fornecedor
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
é do tipo ULONGLONG/UInt64 no runtime
-
é definido pelo <VersionEx>2.0.0.2</VersionEx> no XML da política sob a forma de (MAJOR). MENOR. REVISÃO. NÚMERO DE CONSTRUÇÃO)
-
É traduzido para ULONGLONG como
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + buildnumber)
Cada número de versão tem 16 bits, pelo que tem um total de 64 bits.
-
A versão da política mais recente tem de ser igual ou superior à versão armazenada na variável UEFI no runtime.
-
Descrição: o conjunto é a versão da política de arranque da integridade do código.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid do espaço de nomes:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Tipo de dados:
uint8_t[8]
-
Dados:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Tem de ser o signatário do Windows.
-
Descrição: informações do signatário da política.
-
Atributos:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Guid do espaço de nomes:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Tipo de dados:
uint8_t[131]
-
Dados:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
Aplicar o DBX
Lançámos o ficheiro DbxUpdate.bin para este problema no UEFI.org. Estes hashes incluem todos os gestores de arranque do Windows revogados lançados entre Windows 8 e a versão inicial de Windows 10 que não respeitam a Política de Integridade do Código.
É da maior importância que estes sejam aplicados com cuidado devido ao risco de poderem quebrar um sistema de arranque duplo que utiliza vários sistemas operativos e um destes gestores de arranque. A curto prazo, recomendamos que, para qualquer sistema, estes hashes sejam opcionalmente aplicados.
