Îndrumări de implementare la nivel de întreprindere pentru CVE-2023-24932

Am împărțit implementarea în mai mulți pași care pot fi realizați într-o cronologie potrivită pentru organizația dvs. Ar trebui să vă familiarizați cu acești pași. După ce înțelegeți bine pașii, trebuie să luați în considerare modul în care vor funcționa în mediul dvs. și să pregătiți planurile de implementare care funcționează pentru întreprinderea dvs. în calendar.

Adăugarea noului certificat Windows UEFI CA 2023 și neîncrederea certificatului Microsoft Windows Production PCA 2011 necesită cooperarea firmware-ului dispozitivului. Deoarece există o combinație mare de hardware și firmware de dispozitiv și Microsoft nu poate testa toate combinațiile, vă recomandăm să testați dispozitivele reprezentative din mediul dvs. înainte de a le implementa pe scară largă. Vă recomandăm să testați cel puțin un dispozitiv de fiecare tip utilizat în organizația dvs. Unele probleme cunoscute ale dispozitivului care vor bloca aceste atenuări sunt documentate ca parte din KB5025885: Cum se gestionează revocările managerului de boot Windows pentru modificările de bootare sigură asociate cu CVE-2023-24932. Dacă detectați o problemă de firmware de dispozitiv care nu este listată în secțiunea Probleme cunoscute , colaborați cu distribuitorul OEM pentru a rezolva problema.

Deoarece acest document face referire la mai multe certificate diferite, acestea sunt prezentate în tabelul următor pentru o referință ușoară și pentru claritate:

Vechi autorități de certificare 2011	Noi autorități de certificare 2023 (expiră în 2038)	Funcție
Microsoft Corporation KEK CA 2011 (expiră în iulie 2026)	Microsoft Corporation KEK CA 2023	Semnează actualizările DB și DBX
Microsoft Windows Production PCA 2011 (PCA2011) (expiră în octombrie 2026)	Windows UEFI CA 2023 (PCA2023)	Semne Bootloader Windows
Microsoft Corporation UEFI CA 2011 (expiră în iulie 2026)	Microsoft UEFI CA 2023 și Microsoft Option ROM UEFI CA 2023	Semnează bootloadere terțe și ROM-uri opționale

Există patru atenuări care trebuie aplicate pentru a vă proteja împotriva atacurilor descrise în CVE-2023-24932:

• Atenuarea 1: Instalați definiția de certificat actualizat (PCA2023) în baza de date

• Atenuarea 2:Actualizarea managerului de boot de pe dispozitivul dvs.

• Atenuarea 3:Activarea revocării (PCA2011)

• Atenuarea 4:Aplicați actualizarea SVN la firmware

Aceste patru atenuări pot fi aplicate manual fiecărui dispozitiv de testare, urmând instrucțiunile descrise în instrucțiunile de implementare a atenuării pentru KB5025885: Cum se gestionează revocările managerului de boot Windows pentru modificările de bootare sigură asociate cu CVE-2023-24932 sau urmând instrucțiunile din acest document. Toate cele patru atenuări se bazează pe firmware pentru a funcționa corect.

Înțelegerea următoarelor riscuri vă va ajuta în timpul procesului de planificare.

Probleme cu firmware-ul:Fiecare dispozitiv are firmware furnizat de producătorul dispozitivului. Pentru operațiunile de implementare descrise în acest document, firmware-ul trebuie să poată accepta și procesa actualizările la baza de date de semnături securizate (baza de date de semnături) și DBX (baza de date de semnături interzise). În plus, firmware-ul este responsabil pentru validarea semnăturii sau a aplicațiilor de boot, inclusiv managerul de boot Windows. Firmware-ul dispozitivului este software și, ca orice software, poate prezenta defecte, motiv pentru care este important să testați aceste operațiuni înainte de implementare pe scară largă.

Microsoft testează în mod continuu mai multe combinații de dispozitive/firmware, începând cu dispozitivele din laboratoarele și birourile Microsoft, iar Microsoft lucrează cu producătorii OEM pentru a le testa dispozitivele. Aproape toate dispozitivele testate au trecut fără probleme. În câteva cazuri, am întâlnit probleme cu firmware-ul care nu gestionează corect actualizările și lucrăm cu producătorii OEM pentru a rezolva problemele de care suntem conștienți.

Instalați suporturi fizice:Aplicând Atenuarea 3 și Atenuarea 4 descrise mai jos în acest document, orice suport de instalare Windows existent nu va mai putea fi bootat până când suportul media nu are un manager de boot actualizat. Atenuările descrise în acest document împiedică rularea managerilor de boot vechi și vulnerabili, neacordându-le încredere firmware-ului. Acest lucru împiedică un atacator să readucă managerul de încărcare a sistemului la o versiune anterioară și să exploateze vulnerabilitățile prezente în versiunile mai vechi. Blocarea acestor manageri de boot vulnerabili nu ar trebui să aibă niciun impact asupra sistemului care rulează. Totuși, va împiedica pornirea oricărui suport bootabil până când managerii de încărcare de pe suport nu sunt actualizați. Printre acestea se numără imaginile ISO, unitățile USB bootabile și bootarea de rețea (boot PxE și HTTP).

• Atenuarea 1: Instalați definițiile de certificate actualizate în baza de date
  
  Adaugă noul certificat Windows UEFI CA 2023 la baza de date de semnături (DB) UEFI Secure Boot. Prin adăugarea acestui certificat la baza de date, firmware-ul dispozitivului va avea încredere în aplicațiile de boot Microsoft Windows semnate de acest certificat.

• Atenuarea 2: Actualizați managerul de boot pe dispozitivul
  
  dvs. Aplică noul manager de boot Windows semnat cu noul certificat Windows UEFI CA 2023.

Aceste atenuări sunt importante pentru întreținerea pe termen lung a Windows pe aceste dispozitive. Deoarece certificatul Microsoft Windows Production PCA 2011 din firmware va expira în octombrie 2026, dispozitivele trebuie să aibă noul certificat Windows UEFI CA 2023 în firmware înainte de expirare, altfel nu vor mai putea primi actualizări Windows, plasându-l într-o stare de securitate vulnerabilă.

Pentru a aplica toate atenuările împreună, rulați următoarea comandă ca administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Pe măsură ce se aplică atenuările, biții din valoarea AvailableUpdates sunt golite. Acest lucru poate necesita mai multe reporniri.

Atenuarea managerului de boot se aplică numai după ce firmware-ul raportează că atenuarea certificatului este finalizată. Acești pași nu pot fi efectuați în mod dezordonat.

După ce se termină, UEFICA2023Status este setat la "Actualizat".

Unele dispozitive pot fi actualizate deja dacă sunt clasificate ca fiind de încredere ridicată. Pentru detalii, consultați instrucțiunile despre pornirea sigură.

După implementarea atenuărilor pe dispozitivele dvs., trebuie să monitorizați dispozitivele pentru a vă asigura că acestea au atenuările aplicate și că sunt acum "Actualizate". Monitorizarea se poate efectua căutând următoarea cheie de registry din sistem. Dacă cheia există și este setată la InProgress, atunci sistemul a început să actualizeze sistemul. Dacă cheia există și este setată la Actualizat, atunci sistemul are certificatele 2023 necesare în baza de date și KEK și începe cu managerul de boot semnat 2023.

Subcheie de registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
Nume valoare cheie	UEFICA2023Status
Tip de date	REG_SZ (șir)
Date	Reflectă starea curentă a actualizării cheii Secure Boot de pe dispozitiv. Va fi setată la una dintre următoarele valori text: NotStarted: Actualizarea nu a rulat încă. În curs: actualizarea este în curs activ. Actualizat: actualizarea s-a finalizat cu succes. Inițial, starea este NotStarted. Aceasta se modifică în InProgress după ce începe actualizarea și, în cele din urmă, în Actualizat după ce au fost implementate toate cheile noi și noul manager de boot. Dacă există o eroare, valoarea de registry UEFICA2023Error este setată la un cod diferit de zero.

După ce Atenuarea 1 și Atenuarea 2 se aplică la dispozitivele dvs., puteți actualiza orice suport încărcabil pe care îl utilizați în mediul dvs. Actualizarea suportului încărcabil înseamnă aplicarea managerului de boot semnat PCA2023 la suportul fizic. Aceasta include actualizarea imaginilor de bootare în rețea (cum ar fi PxE și HTTP), a imaginilor ISO și a unităților USB. În caz contrar, dispozitivele cu atenuări aplicate nu vor porni de pe suportul de încărcare care utilizează managerul de boot Windows mai vechi și CA 2011. ​​​​

Instrumentele și instrucțiunile despre cum să actualizați fiecare tip de suport bootabil sunt disponibile aici:

Tip media	Resursă
ISO, unități USB și așa mai departe	KB5053484: Actualizarea suportului încărcabil Windows pentru a utiliza managerul de boot semnat PCA2023
PXE Boot Server	Documentație care va fi furnizată ulterior

În timpul procesului de actualizare a suportului fizic, ar trebui să vă asigurați că testați elementele media cu un dispozitiv care are toate cele patru atenuări aplicate. Ultimele două atenuări vor bloca managerii de boot mai vechi și vulnerabili. O parte importantă a finalizării acestui proces este să aveți suport media cu manageri de boot actuali.

Suportul fizic bootabil nu include unitatea de sistem a dispozitivului în care se află de obicei Windows și de pe care pornește automat. Suportul încărcabil este utilizat de obicei pentru a boota un dispozitiv care nu are o versiune bootabilă de Windows, iar acesta este utilizat adesea pentru a instala Windows pe dispozitiv.

Setările UEFI Secure Boot determină căror manageri de boot să aibă încredere, utilizând baza de date de pornire sigură (baza de date de semnături) și DBX (baza de date de semnături interzise). Baza de date conține codurile hash și cheile pentru software-ul de încredere, iar DBX stochează hashurile și cheile revocate, compromise și care nu sunt de încredere pentru a împiedica rularea software-ului neautorizat sau rău intenționat în timpul procesului de pornire.

Este util să vă gândiți la diferitele stări în care poate fi un dispozitiv și la ce suport bootabil poate fi utilizat cu dispozitivul în fiecare din aceste stări. În toate cazurile, firmware-ul determină dacă ar trebui să acorde încredere managerului de boot care îi este prezentat și, odată ce rulează managerul de boot, baza de date și DBX nu mai sunt consultate de firmware. Suportul încărcabil poate utiliza un manager de încărcare semnat de CA 2011 sau un manager de încărcare semnat de CA 2023, dar nu ambele. Următoarea secțiune descrie stările în care poate fi dispozitivul și, în unele cazuri, ce suport media poate fi pornit de pe dispozitiv.

Aceste scenarii de dispozitiv vă pot ajuta atunci când faceți planuri pentru implementarea atenuărilor pe dispozitivele dvs.

Dispozitive noi

Unele dispozitive noi au început să fie livrate cu CA-urile 2011 și 2023 preinstalate în firmware-ul dispozitivului. Nu toți producătorii au trecut la ambele și este posibil să livreze în continuare dispozitive cu doar CA 2011 preinstalat.

• Dispozitivele cu CA 2011 și 2023 pot porni suporturi fizice care includ managerul de încărcare semnat de CA 2011 sau managerul de boot semnat CA 2023.

• Dispozitivele cu doar 2011 CA instalată pot să booteze doar suporturi fizice cu managerul de boot 2011 semnat de CA. Majoritatea suporturilor media mai vechi includ managerul de boot semnat CA 2011.

Dispozitive cu atenuări 1 și 2

Aceste dispozitive au fost preinstalate cu CA 2011 și, prin aplicarea Atenuării 1, au acum instalată CA 2023. Deoarece aceste dispozitive au încredere în ambele autorități de certificare, aceste dispozitive pot porni atât suportul fizic cu autoritatea de certificare 2011, cât și cu managerul de boot semnat 2023.

Dispozitive cu atenuări 3 și 4

Aceste dispozitive au CA 2011 inclusă în DBX și nu vor mai acorda încredere suporturilor media cu un manager de boot 2011 semnat de CA. Un dispozitiv cu această configurație va porni doar suportul fizic cu un manager de boot 2023 semnat de CA.

Resetare la pornire securizată

Dacă setările Secure Boot au fost resetate la valorile implicite, este posibil să nu mai fie aplicate atenuările aplicate bazei de date (adăugând CA 2023) și DBX (fără încredere CA 2011). Comportamentul va depinde de setările implicite ale firmware-ului.

DBX

Dacă atenuările 3 și/sau 4 au fost aplicate și DBX este golit, atunci CA 2011 nu va fi pe lista DBX și va fi în continuare de încredere. Dacă se întâmplă acest lucru, va fi necesară reaplicarea atenuărilor 3 și/sau 4.

Baza de date

Dacă baza de date conținea CA 2023 și aceasta este eliminată prin resetarea setărilor Secure Boot la valorile implicite, este posibil ca sistemul să nu booteze dacă dispozitivul se bazează pe managerul de boot semnat de CA 2023. Dacă dispozitivul nu pornește, utilizați instrumentul securebootrecovery.efi descris în KB5025885: Cum se gestionează revocările managerului de boot Windows pentru modificările de bootare sigură asociate cu CVE-2023-24932 pentru a recupera sistemul.

• Atenuarea 3: activarea revocării
  
  Nu acordă încredere certificatului Microsoft Windows Production PCA 2011, adăugându-l la firmware-ul Secure Boot DBX. Acest lucru va face ca firmware-ul să nu acorde încredere tuturor managerilor de încărcare 2011 semnate de CA și oricăror suporturi fizice care se bazează pe managerul de încărcare 2011 semnat CA.

• Atenuarea 4: Aplicarea actualizării Secure Version Number la firmware
  
  Aplică actualizarea Secure Version Number (SVN) la firmware-ul Secure Boot DBX. Atunci când începe să ruleze un manager de boot semnat cu 2023, efectuează o verificare automată prin compararea SVN-ului stocat în firmware cu SVN-ul încorporat în managerul de boot. Dacă SVN-ul managerului de boot este mai mic decât SVN-ul firmware-ului, managerul de boot nu va rula. Această caracteristică împiedică un atacator să readucă managerul de boot la o versiune mai veche, neactualizată. Pentru viitoarele actualizări de securitate la managerul de boot, SVN va fi incrementat și va trebui reaplicată Atenuarea 4.

Important Atenuarea 1 și Atenuarea 2 trebuie finalizate înainte de aplicarea Atenuării 3 și Atenuarea 4.

Pentru informații despre cum să aplicați atenuarea 3 și atenuarea 4 în doi pași separați (dacă doriți să fiți mai precaut, cel puțin la început), consultați KB5025885: Cum se gestionează revocările managerului de boot Windows pentru modificările de bootare sigură asociate cu CVE-2023-24932 Sau puteți aplica ambele atenuări rulând următoarea operațiune cu o singură cheie de registry ca Administrator:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f

Aplicarea celor două atenuări împreună va necesita o singură repornire pentru a finaliza operațiunea.

• Atenuarea 3: Puteți verifica dacă lista de revocare a fost aplicată cu succes, căutând ID-ul de eveniment: 1037 în jurnalul de evenimente, KB5016061: Evenimente de actualizare a bazelor de date și a variabilelor DBX Secure Boot.
  
  Ca alternativă, puteți să rulați următoarea comandă PowerShell ca Administrator și să vă asigurați că returnează True:

  [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'​​​​​​​

• Atenuarea 4: Nu există încă o metodă pentru a confirma că s-a aplicat setarea SVN. Această secțiune va fi actualizată atunci când va fi disponibilă o soluție.