KB5027455: Pokyny na blokovanie zraniteľných správcov spúšťania systému Windows

Úvod

Spoločnosť Microsoft bola informovaná o zraniteľnosti so správcom spúšťania systému Windows, ktorý umožňuje útočníkovi obísť zabezpečené spustenie. Problém v správcovi spúšťania bol opravený a vydaný ako aktualizácia zabezpečenia. Zostávajúce nedostatočné zabezpečenie spočíva v tom, že útočník s oprávneniami správcu alebo fyzickým prístupom k zariadeniu môže vrátiť správcu spustenia na verziu bez opravy zabezpečenia. Túto zraniteľnosť vrátenia späť používa malvér BlackLotus na obídenie zabezpečeného spustenia popísaného v CVE-2023-24932. Na vyriešenie tohto problému zrušíme zraniteľných správcov spúšťania.

Z dôvodu veľkého počtu správcov spúšťania, ktoré musia byť zablokované, používame alternatívny spôsob blokovania správcov spúšťania. Týka sa to operačných systémov iných ako Windows v tom, že v týchto systémoch bude potrebné poskytnúť opravu, aby sa správcovia spúšťania systému Windows používali ako vektor útoku na operačné systémy iné ako Windows.

Ďalšie informácie

Jednou z metód blokovania zraniteľných binárnych údajov aplikácie EFI pred načítaním firmvérom je pridanie hash zraniteľných aplikácií do zoznamu zakázaných UEFI (DBX). Zoznam DBX je uložený v zariadeniach spravovaných flash firmvérom. Obmedzenie tejto metódy blokovania je obmedzená pamäť firmware flash k dispozícii pre ukladanie DBX. Z dôvodu tohto obmedzenia a veľkého počtu správcov spúšťania, ktoré musia byť zablokované (správcovia spúšťania systému Windows za posledných 10 rokov), nie je možné úplne spoliehať na DBX pre tento problém.

Pre tento problém sme vybrali hybridnú metódu blokovania zraniteľných správcov spúšťania. Do databázy DBX sa pridá len niekoľko správcov spúšťania vydaných v starších verziách Windowsu. V prípade Windows 10 a novších verzií sa použije politika Windows Defender Application Control (WDAC), ktorá blokuje zraniteľných správcov spúšťania systému Windows. Keď sa politika použije na systém Windows, správca spustenia politiku pre systém "uzamkne" pridaním premennej do firmvéru UEFI. Správcovia spúšťania systému Windows sa budú riadiť politikou a zámkom UEFI. Ak je uzamknutie UEFI zavedené a politika bola odstránená, správca spúšťania systému Windows sa nespustí. Ak je politika zavedená, správca spustenia sa nespustí, ak ju politika zablokovala.

Pokyny na blokovanie zraniteľných správcov spúšťania systému Windows

POZNÁMKA Používatelia by mali mať možnosť použiť premennú, aby mohli ovládať, kedy sú chránení.

Povolenie zámku UEFI spôsobí zastavenie spúšťania existujúcich zavádzacích médií systému Windows, kým sa médiá neaktualizujú aktualizáciami windowsu vydanými 9. mája 2023 alebo po ich skončení. Pokyny na aktualizáciu médií nájdete v článku KB5025885: Ako spravovať zrušenia nástroja Windows Boot Manager pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932.

Pre systémy s povoleným zabezpečeným spustením, ktoré spúšťajú len operačné systémy

iné ako Windows V prípade systémov, ktoré iba spúšťajú operačné systémy iné ako Windows a nikdy nespustia Windows, môžu byť tieto obmedzenia použité na systém okamžite.
Pre systémy s duálnym štartovaním Systému Windows a iného operačného systému

V prípade systémov, ktoré s windowsom spustia, by sa zmiernenia rizík iných ako Windows mali použiť až po aktualizácii operačného systému Windows na aktualizácie windowsu vydané 9. mája 2023 alebo po ich skončení.

Vytvorenie zámku UEFI

UEFI Lock má dve premenné, ktoré sú potrebné na zabránenie útokom vrátenia zmien v správcovi spúšťania systému Windows. Tieto premenné sú nasledovné:

Atribúty SKU SiPolicy

Táto politika má nasledujúce atribúty:
- Identifikácia typu politiky:
  
  {976d12c8-cb9f-4730-be52-54600843238e}
- Špecifický názov súboru "SkuSiPolicy.p7b"
- Konkrétne fyzické umiestnenie EFI\Microsoft\Boot
Rovnako ako všetky podpísané politiky WDAC, podpísaná politika jednotiek SKU je chránená dvoma premennými UEFI:
- SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
- SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
Premenné

SKU SiPolicy Táto politika používa dve premenné UEFI uložené v priestore názvov/dodávateľov
EFI. GUID(SECUREBOOT_EFI_NAMESPACE_GUID):

#define SECUREBOOT_EFI_NAMESPACE_GUID \

{0x77fa9abd, 0x0359, 0x4d32, \

{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
- SkuSiPolicyVersion
  - je typu ULONGLONG/UInt64 v režime runtime
  - je definovaný< VersionEx>2.0.0.2</VersionEx> v rámci XML politiky vo forme (MAJOR). MENŠIE. REVÍZIA. ČÍSLO ZOSTAVY)
  - To je preložené do ULONGLONG ako
    
    ((major##ULL << 48) + (vedľajšia##ULL << 32) + (revízia##ULL << 16) + číslo zostavy)
    
    Číslo každej verzie má 16 bitov, takže má celkovo 64 bitov.
  - Verzia novšej politiky musí byť rovnaká alebo väčšia ako verzia uložená v premennej UEFI v režime runtime.
  - Popis: Nastavte verziu politiky spustenia integrity kódu.
  - Atribúty:
    
    (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
  - Identifikátor GUID priestoru názvov:
    
    77fa9abd-0359-4d32-bd60-28f4e78f784b
  - Typ údajov:
    
    uint8_t[8]
  - Údajov:
    
    uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
- SkuSiPolicyUpdateSigners (SkuSiPolicyUpdateSigners)
  - Musí to byť podpisovateľ systému Windows.
  - Popis: Informácie o podpise politiky.
  - Atribúty:
    
    (EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
  - Identifikátor GUID priestoru názvov:
    
    77fa9abd-0359-4d32-bd60-28f4e78f784bd
  - Typ údajov:
    
    uint8_t[131]
  - Údajov:
    
    uint8_tSkuSiPolicyUpdateSigners[131] =
    
    { 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00
    
    0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 0x00
    
    0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06 0x01
    
    0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06 0x00
    
    0x00, 0x00, 0x00};

Použitie dbx

Vydali sme súbor DbxUpdate.bin pre tento problém v UEFI.org. Tieto hašy zahŕňajú všetkých zrušených správcov spúšťania systému Windows vydaných medzi Windows 8 a počiatočným vydaním Windows 10, ktoré nerešpektujú politiku integrity kódu.

Je nanajvýš dôležité, aby sa použili opatrne z dôvodu rizika, že môžu porušiť duálny systém spúšťania, ktorý používa viacero operačných systémov a jeden z týchto správcov spúšťania. Z krátkodobého hľadiska odporúčame, aby sa pre akýkoľvek systém tieto hashy použili voliteľne.

KB5027455: Pokyny na blokovanie zraniteľných správcov spúšťania systému Windows

Úvod

Ďalšie informácie

Pokyny na blokovanie zraniteľných správcov spúšťania systému Windows

Vytvorenie zámku UEFI

Použitie dbx

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!