Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Introducere

Microsoft a luat cunoștință de o vulnerabilitate cu managerul de boot Windows care îi permite unui atacator să ocolească Bootarea securizată. Problema din managerul de boot a fost remediată și lansată ca actualizare de securitate. Vulnerabilitatea rămasă este că un atacator cu privilegii administrative sau acces fizic la dispozitiv poate readuce managerul de bootare la o versiune fără remedierea de securitate. Această vulnerabilitate de revenire este utilizată de malware-ul BlackLotus pentru a ocoli bootarea sigură descrisă de CVE-2023-24932. Pentru a rezolva această problemă, vom revoca managerii de boot vulnerabili.

Din cauza numărului mare de manageri de boot care trebuie blocați, folosim o modalitate alternativă de a bloca managerii de boot. Acest lucru afectează sistemele de operare non-Windows, prin faptul că va trebui furnizată o remediere pe aceste sisteme pentru a bloca utilizarea managerilor de boot Windows ca vector de atac pe sistemele de operare non-Windows.

Mai multe informații

O metodă de a împiedica încărcarea binarelor vulnerabile ale aplicațiilor EFI de către firmware este adăugarea de hashuri ale aplicațiilor vulnerabile la lista UEFI Forbidden List (DBX). Lista DBX este stocată în flash-ul gestionat de firmware-ul dispozitivelor. Limitarea acestei metode de blocare este memoria flash limitată de firmware disponibilă pentru stocarea DBX. Din cauza acestei limitări și a numărului mare de manageri de boot care trebuie blocați (manageri de boot Windows din ultimii 10+ ani), nu se poate baza în întregime pe DBX pentru această problemă.

Pentru această problemă, am ales o metodă hibridă de blocare a managerilor vulnerabili de boot. Doar câțiva manageri de boot care s-au lansat în versiunile anterioare de Windows vor fi adăugați la DBX. Pentru versiunile Windows 10 și mai recente, va fi utilizată o politică Windows Defender Application Control (WDAC) care blochează managerii de boot Windows vulnerabili. Atunci când politica este aplicată la un sistem Windows, managerul de boot va "bloca" politica la sistem prin adăugarea unei variabile la firmware-ul UEFI. Managerii de boot Windows vor respecta politica și blocarea UEFI. Dacă blocarea UEFI este activată și politica a fost eliminată, managerul de boot Windows nu va porni. Dacă politica este în vigoare, managerul de boot nu va porni dacă a fost blocată de politică.

Instrucțiuni pentru blocarea managerilor de boot Windows vulnerabili

NOTĂ Utilizatorilor ar trebui să li se acorde opțiunea de a aplica variabila, astfel încât să poată controla când sunt protejați.

Activarea blocării UEFI va face ca suportul Windows bootabil existent să nu mai booteze până când suportul media este actualizat cu actualizările Windows lansate la sau după 9 mai 2023. Instrucțiunile pentru actualizarea suporturilor media pot fi găsite în KB5025885: Cum se gestionează revocările Managerului de boot Windows pentru modificările bootării securizate asociate cu CVE-2023-24932.

  • Pentru sistemele cu bootare securizată activată care bootează doar sisteme

    de operare non-Windows Pentru sistemele care pornesc doar sisteme de operare non-Windows și nu vor porni niciodată Windows, aceste atenuări pot fi aplicate imediat sistemului.

  • Pentru sistemele cu bootare duală Windows și un alt sistem

    de operare Pentru sistemele care pornesc Windows, atenuările non-Windows ar trebui aplicate numai după ce sistemul de operare Windows a fost actualizat la actualizările Windows lansate la sau după 9 mai 2023.

Crearea blocării UEFI

Blocarea UEFI are două variabile necesare pentru a preveni atacurile de revenire în managerul de boot Windows. Aceste variabile sunt următoarele:

  • Atribute SiPolicy SKU

    Această politică are următoarele atribute:

    • ID tip politică:

      {976d12c8-cb9f-4730-be52-54600843238e}

    • Numele de fișier specific "SkuSiPolicy.p7b"

    • Locație fizică specifică EFI\Microsoft\Boot

    La fel ca toate politicile WDAC semnate, o politică SKU semnată este protejată de două variabile UEFI:

    • SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"

    • SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"

  • Variabile

    SKU SiPolicy Această politică utilizează două variabile UEFI stocate sub spațiul de nume EFI/Furnizor
    GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

    #define SECUREBOOT_EFI_NAMESPACE_GUID \

    {0x77fa9abd, 0x0359, 0x4d32, \

    {0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};

    • SkuSiPolicyVersion

      • este de tip ULONGLONG/UInt64 la momentul rulării

      • este definit de <VersionEx>2.0.0.2</VersionEx> în cadrul XML de politică, sub forma (MAJOR. MINORE. REVIZIE. NUMĂR COMPILARE)

      • Este tradus în ULONGLONG ca

        ((major##ULL << 48) + (minor##ULL << 32) + (revizuire##ULL << 16) + număr compilare)

        Fiecare număr de versiune are 16 biți, deci are un total de 64 de biți.

      • Versiunea politicii mai noi trebuie să fie egală sau mai mare decât versiunea stocată în variabila UEFI la momentul rulării.

      • Descriere: setați versiunea politicii de bootare a integrității codului.

      • Atribute:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • GUID spațiu de nume:

        77fa9abd-0359-4d32-bd60-28f4e78f784b

      • Tip de date:

        uint8_t[8]

      • Date:

        uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };

    • SkuSiPolicyUpdateSigners

      • Trebuie să fie semnatarul Windows.

      • Descriere: Informații despre semnatarul politicii.

      • Atribute:

        (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)

      • GUID spațiu de nume:

        77fa9abd-0359-4d32-bd60-28f4e78f784bd

      • Tip de date:

        uint8_t[131]

      • Date:

        uint8_tSkuSiPolicyUpdateSigners[131] =

             { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,

              0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78 0x00

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

              0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,

              0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,

              0x00, 0x00, 0x00};

Aplicați DBX

Am lansat fișierul DbxUpdate.bin pentru această problemă pe UEFI.org. Aceste coduri hash includ toate managerii de boot Windows revocați lansate între Windows 8 și versiunea inițială de Windows 10 care nu respectă politica de integritate a codului.

Este extrem de important ca acestea să fie aplicate cu grijă, din cauza riscului ca acestea să întrerupă un sistem de boot dual care utilizează mai multe sisteme de operare și unul dintre acești manageri de boot. Pe termen scurt, vă recomandăm ca, pentru orice sistem, aceste hash-uri să fie aplicate opțional.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×