Pôvodný dátum publikovania: 13. februára 2025
KB ID: 5053946
Úvod
Tento dokument popisuje nasadenie ochrany proti verejne zverejnenému obídeniu funkcie zabezpečenia zabezpečeného spustenia, ktorá používa súpravu spúšťania BlackLotus UEFI sledovanú cve-2023-24932 pre podnikové prostredia.
S cieľom vyhnúť sa narušeniam spoločnosť Microsoft neplánuje nasadiť tieto obmedzenia rizík v podnikoch, ale poskytuje tieto pokyny na pomoc podnikom pri použití zmiernení. To dáva podnikom kontrolu nad plánom nasadenia a načasovaním nasadenia.
Začíname
Nasadenie sme rozdelili na viacero krokov, ktoré možno dosiahnuť na časovej osi, ktorá funguje pre vašu organizáciu. Mali by ste sa oboznámiť s týmito krokmi. Keď dobre pochopíte kroky, mali by ste zvážiť, ako budú vo vašom prostredí fungovať, a pripraviť plány nasadenia, ktoré budú na časovej osi fungovať pre váš podnik.
Pridanie nového certifikátu Windows UEFI CA 2023 a nedôveryhodné certifikátu Microsoft Windows Production PCA 2011 vyžaduje spoluprácu z firmvéru zariadenia. Keďže existuje veľká kombinácia hardvéru a firmvéru zariadenia a spoločnosť Microsoft nedokáže testovať všetky kombinácie, odporúčame vám pred širším nasadením testovať reprezentatívne zariadenia vo vašom prostredí. Odporúčame, aby ste testovať aspoň jedno zariadenie každého typu, ktorý sa používa vo vašej organizácii. Niektoré známe problémy so zariadením, ktoré budú blokovať tieto obmedzenia rizík, sú zdokumentované ako súčasť KB5025885: Ako spravovať zrušenia správcu spúšťania systému Windows pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932. Ak zistíte problém s firmvérom zariadenia, ktorý nie je uvedený v časti Známe problémy , na riešení problému sa obráťte na dodávateľa výrobcu OEM.
Keďže tento dokument odkazuje na niekoľko rôznych certifikátov, sú uvedené v nasledujúcej tabuľke na jednoduchú referenciu a zrozumiteľnosť:
|
Staré CAs 2011 |
Nové CA na rok 2023 (platnosť uplynie v roku 2038) |
Funkcia |
|
Microsoft Corporation KEK CA 2011 (platnosť uplynie v júli 2026) |
Microsoft Corporation KEK CA 2023 |
Aktualizácie podpisov DB a DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (platnosť uplynie v októbri 2026) |
Windows UEFI CA 2023 (PCA2023) |
Značenie zavádzacieho systému Windows |
|
Microsoft Corporation UEFI CA 2011 (platnosť uplynie v júli 2026) |
Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 |
Podpisuje zavádzacie servery tretích strán a romy možností |
Dôležité Pred testovaním zariadení s obmedzeniami rizík nezabudnite na testovacie zariadenia použiť najnovšie aktualizácie zabezpečenia.
Poznámka Počas testovania firmvéru zariadenia sa môžu vyskytnúť problémy, ktoré bránia správnemu fungovaniu aktualizácií zabezpečeného spustenia. To môže vyžadovať získanie aktualizovaného firmvéru od výrobcu (OEM) a aktualizáciu firmvéru v dotknutých zariadeniach s cieľom zmierniť problémy, ktoré zistíte.
Na ochranu pred útokmi opísanými v CVE-2023-24932 je potrebné použiť štyri obmedzenia rizík:
-
Obmedzenie rizík 1: Inštalácia aktualizovanej definície certifikátu (PCA2023) do databázy
-
Obmedzenie rizík 2:Aktualizácia správcu spustenia v zariadení
-
Obmedzenie rizík 3:Povolenie zrušenia (PCA2011)
-
Obmedzenie rizík 4:Použitie aktualizácie SVN na firmvér
Tieto štyri zmiernenia možno manuálne použiť na každé testovacie zariadenia podľa pokynov popísaných v pokynoch na nasadenie rizíkv KB5025885: Ako spravovať zrušenia správcu spúšťania systému Windows pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932 alebo podľa pokynov v tomto dokumente. Všetky štyri obmedzenia rizík závisia od správneho fungovania firmvéru.
Pochopenie nasledujúcich rizík vám pomôže pri plánovaní.
Problémy s firmvérom:Každé zariadenie má firmvér poskytnutý výrobcom zariadenia. V prípade operácií nasadenia popísaných v tomto dokumente musí byť firmvér schopný prijať a spracovať aktualizácie databázy zabezpečeného spustenia (databáza podpisu) a databázy DBX (Databáza zakázaného podpisu). Okrem toho je firmvér zodpovedný za overovanie aplikácií podpisu alebo spustenia vrátane správcu spúšťania systému Windows. Firmvér zariadenia je softvér a podobne ako akýkoľvek softvér môže mať chyby, preto je dôležité tieto operácie pred nasadením otestovať.Spoločnosť Microsoft neustále testuje mnohé kombinácie zariadení a firmvéru počnúc zariadeniami v laboratóriách a kanceláriách spoločnosti Microsoft a spoločnosť Microsoft pracuje s OEM na testovaní svojich zariadení. Takmer všetky testované zariadenia prešli bez problémov. V niekoľkých prípadoch sme videli problémy s firmvérom, ktorý nepracuje s aktualizáciami správne, a pracujeme s OEM na riešení problémov, o ktorých vieme.
Poznámka Ak počas testovania zariadenia zistíte problém s firmvérom, odporúčame vám na vyriešenie problému spolupracovať s výrobcom zariadenia alebo výrobcom OEM. V denníku udalostí vyhľadajte ID udalosti 1795 . Pozrite si KB5016061: Udalosti aktualizácie premennej Secure Boot DB a DBX , kde nájdete ďalšie podrobnosti o udalostiach zabezpečeného spustenia.
Inštalácia médií:Použitím funkcií Mitigation 3 a Mitigation 4 popísaných ďalej v tomto dokumente už nebudú všetky existujúce inštalačného média systému Windows zavádzateľné, kým médiá nebudú mať aktualizovaného správcu spúšťania. Obmedzenia rizík popísané v tomto dokumente bránia spusteniu starých zraniteľných správcov spúšťania tým, že ich nedôverujú vo firmvéri. Tým sa zabráni útočníkovi vrátiť správcu spustenia systému na predchádzajúcu verziu a využívať zraniteľné miesta prítomné v starších verziách. Blokovanie týchto zraniteľných správcov spúšťania by nemalo mať žiadny vplyv na spustený systém. Zabráni však spusteniu spúšťacích médií, kým sa neaktualizujú správcovia spúšťania na médiách. Patria sem obrázky ISO, zavádzacie USB disky a spustenie siete (spúšťanie PxE a HTTP).
Aktualizácia na PCA2023 a nového správcu spúšťania
-
Zmiernenie 1: Inštalácia aktualizovaných definícií certifikátu do databázy Pridá nový certifikát Windows UEFI CA 2023 do databázy podpisu zabezpečeného spustenia UEFI. Pridaním tohto certifikátu do databázy bude firmvér zariadenia dôverovať zavádzacím aplikáciám systému Microsoft Windows podpísaným týmto certifikátom.
-
Zmiernenie 2: Aktualizácia správcu spúšťania v zariadení Použije nového správcu spúšťania systému Windows podpísaného novým certifikátom Windows UEFI CA 2023.
Tieto obmedzenia rizík sú dôležité pre dlhodobú servisnosť Windowsu v týchto zariadeniach. Keďže platnosť certifikátu Microsoft Windows Production PCA 2011 vo firmvéri uplynie v októbri 2026, zariadenia musia mať pred uplynutím platnosti nový certifikát Windows UEFI CA 2023 vo firmvéri alebo zariadenie už nebude môcť prijímať aktualizácie Windowsu, čím sa dostane do zraniteľného stavu zabezpečenia.
Informácie o tom, ako použiť zmiernenie 1 a zmiernenie 2 v dvoch samostatných krokoch (ak chcete byť opatrnejší, aspoň najprv) nájdete v téme KB5025885: Ako spravovať zrušenia správcu spúšťania systému Windows pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932. Prípadne môžete použiť obe obmedzenia rizík spustením nasledujúcej operácie s jedným kľúčom databázy Registry ako správca:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Keď sa použijú obmedzenia rizík, bity v kľúči AvailableUpdates sa vymažú. Po nastavení na 0x140 a reštartovanie sa hodnota zmení na 0x100 a po ďalšom reštarte sa zmení na 0x000.
Obmedzenie rizík správcu spustenia sa nepoužije, kým firmvér nenaznačí, že zmiernenie rizík certifikátu v roku 2023 sa úspešne použilo. Tieto operácie nie je možné vykonať v poradí.
Pri použití oboch zmiernení sa nastaví kľúč databázy Registry na označenie, že systém je schopný verzie 2023, čo znamená, že médiá je možné aktualizovať a možno použiť zmiernenie rizík 3 a zmiernenie 4.
Vo väčšine prípadov dokončenie zmiernenia 1 a zmiernenie 2 vyžaduje aspoň dva reštarty pred úplným použitím zmiernení. Pridaním ďalších reštartov v prostredí zabezpečíte, že zmiernenia sa použijú skôr. Nemusí však byť praktické umelo aplikovať ďalšie reštarty a môže mať zmysel spoliehať sa na mesačné reštarty, ktoré sa vyskytujú v rámci použitia aktualizácií zabezpečenia. Znamená to menšie narušenie vášho prostredia, ale hrozí, že zabezpečenie bude trvať dlhšie.
Po nasadení funkcií Mitigation 1 a Mitigation 2 do zariadení by ste mali monitorovať svoje zariadenia, aby ste sa uistili, že majú použité zmiernenia a sú teraz schopné verzie 2023. Monitorovanie možno vykonať vyhľadaním nasledujúceho kľúča databázy Registry v systéme. Ak kľúč existuje a je nastavený na hodnotu 1, systém pridal certifikát 2023 do premennej Secure Boot DB. Ak kľúč existuje a je nastavený na hodnotu 2, systém má certifikát 2023 v databáze a začína správcom spúšťania podpísaným v roku 2023.
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Názov hodnoty kľúča |
WindowsUEFICA2023Capable |
|
|
Typ údajov |
REG_DWORD |
|
|
Údaje |
0 – alebo kľúč neexistuje – certifikát Windows UEFI CA 2023 sa nenachádza v databáze 1 – Certifikát Windows UEFI CA 2023 sa nachádza v databáze 2 – Certifikát Windows UEFI CA 2023 sa nachádza v databáze a systém sa spúšťa od podpísaného správcu spúšťania v roku 2023. |
|
Aktualizovať zavádzacie médiá
Po použití funkcie Mitigation 1 a Mitigation 2 na vaše zariadenia môžete aktualizovať všetky zavádzacie médiá, ktoré používate vo svojom prostredí. Aktualizácia zavádzacieho média znamená použitie PCA2023 podpísaného správcu spúšťania na médiu. To zahŕňa aktualizáciu obrazov spúšťania siete (napríklad PxE a HTTP), obrazov ISO a USB kľúčov. V opačnom prípade sa zariadenia s použitými obmedzeniami nespustí z zavádzacích médií, ktoré používajú staršieho správcu spúšťania systému Windows a certifikačnú autoritu 2011.
Nástroje a pokyny na aktualizáciu jednotlivých typov zavádzacích médií sú k dispozícii tu:
|
Typ média |
Zdroj |
|
ISO, USB disky a tak ďalej |
|
|
Spúšťací server PXE |
Dokumentácia, ktorá sa má poskytnúť neskôr |
Počas procesu aktualizácie médií by ste mali otestovať médium so zariadením, ktoré má všetky štyri obmedzenia rizík. Posledné dve zmiernenia budú blokovať starších, zraniteľných správcov spúšťania. Médiá s aktuálnymi správcami spúšťania sú dôležitou súčasťou dokončenia tohto procesu.
Poznámka Keďže útoky vrátenia návratu správcu spustenia sú realitou a očakávame, že priebežné aktualizácie správcu spúšťania systému Windows sa budú riešiť problémy so zabezpečením, odporúčame podnikom plánovať semi-pravidelné aktualizácie médií a mať zavedené procesy, aby boli aktualizácie médií jednoduché a menej časovo náročné. Naším cieľom je obmedziť počet obnovení správcu spúšťania médií najviac dvakrát ročne, ak je to možné.
Zavádzacie médium nezahŕňa systémovú jednotku zariadenia, v ktorej sa windows zvyčajne nachádza a spúšťa automaticky. Zavádzacie médium sa bežne používa na spustenie zariadenia, ktoré nemá zavádzaciu verziu Windowsu, a spúšťacie médiá sa často používajú na inštaláciu Windowsu v zariadení.
Nastavenia zabezpečeného spustenia rozhrania UEFI určujú správcov spúšťania, ktorým sa má dôverovať, pomocou databázy zabezpečeného spustenia (Databáza podpisu) a databázy DBX (Databáza zakázaného podpisu). Databáza obsahuje hodnoty hash a kľúče pre dôveryhodný softvér a obchody DBX boli zrušené, zneužité a nedôveryhodné hashy a kľúče, aby sa zabránilo spusteniu neoprávneného alebo škodlivého softvéru počas procesu spúšťania.
Je užitočné premýšľať o rôznych stavoch, v ktorých môže byť zariadenie, a o tom, v ktorých zariadeniach sa môže používať spúšťacie médium v každom z týchto stavov. Vo všetkých prípadoch firmvér určí, či by mal dôverovať správcovi spustenia, s ktorým je prezentovaný, a po spustení správcu spustenia firmvéru už db a DBX nekonzultujú. Zavádzacie médiá môžu používať správcu spúšťania podpísaný certifikačnou autoritou 2011 alebo správcu spúšťania podpísaný certifikačnou autoritou (CA) v roku 2023, nie však obidva. Nasledujúca časť popisuje stavy, v ktorých sa môže zariadenie nachádzať, a v niektorých prípadoch aj to, v akých médiách možno zariadenie spustiť.
Tieto scenáre zariadenia môžu pomôcť pri vytváraní plánov na nasadenie zmiernení rizík vo vašich zariadeniach.
Nové zariadenia
Niektoré nové zariadenia začali dodávať s predinštalovanými VA 2011 aj 2023 v zariadení firmvérom. Nie všetci výrobcovia prešli na obe, a môže byť stále lodné zariadenia len s 2011 CA predinštalované.
-
Zariadenia s certifikačnými autoritami verzie 2011 aj 2023 môžu spúšťať médiá, ktoré zahŕňajú buď správcu spúšťania podpísaného certifikačnou autoritou (CA) v roku 2011, alebo podpísaného správcu spúšťania pre certifikačnú autoritu (CA) v roku 2023.
-
Zariadenia s nainštalovanou certifikačnou autoritou (CA) 2011 môžu spúšťať len médiá s správcom spúšťania podpísaným certifikačnou autoritou 2011. Väčšina starších médií patrí 2011 CA podpísal boot manger.
Zariadenia s obmedzeniami rizík 1 a 2
Tieto zariadenia boli predinštalované certifikačnou autoritou 2011 a použitím obmedzenia rizík 1 majú teraz nainštalovanú certifikačnú autoritu 2023. Keďže tieto zariadenia dôverujú obom CA, tieto zariadenia môžu spúšťať médiá s certifikačnou autoritou 2011 aj správcom spúšťania podpísaným v roku 2023.
Zariadenia s obmedzeniami rizík 3 a 4
Tieto zariadenia majú ca 2011 zahrnuté v DBX a už nebude dôverovať médiám s 2011 CA podpísal boot manager. Zariadenie s touto konfiguráciou spustí médiá len s správcom spúšťania podpísaným certifikačnou autoritou (CA) v roku 2023.
Obnovenie zabezpečeného spustenia
Ak sa nastavenia zabezpečeného spustenia obnovili na predvolené hodnoty, všetky obmedzenia rizík použité v databáze (pridanie certifikačnej autority 2023) a DBX (nedôveryhodné ca 2011) už nemusia byť zavedené. Správanie bude závisieť od predvolených nastavení firmvéru.
DBX
Ak boli použité mitigations 3 a / alebo 4 a DBX je vymazaný, potom 2011 CA nebude v zozname DBX a bude aj naďalej dôveryhodný. V takom prípade bude potrebné znova použiť obmedzenia rizík 3 a/alebo 4.
DB
Ak databáza obsahovala certifikačnú autoritu 2023 a odstráni sa obnovením predvolených nastavení zabezpečeného spustenia, systém sa nemusí spustiť, ak sa zariadenie spolieha na správcu spúšťania podpísaný certifikačnou autoritou 2023. Ak sa zariadenie nespustie, použite nástroj securebootrecovery.efi popísaný v KB5025885: Ako spravovať zrušenia správcu spúšťania systému Windows pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932 na obnovenie systému.
Nedôveryhodné PCA2011 a použiť číslo zabezpečenej verzie v jazyku DBX
-
Zmiernenie 3: Povolenie zrušenia Nedôveruje certifikátu Microsoft Windows Production PCA 2011 jeho pridaním do firmvéru Secure Boot DBX. To spôsobí, že firmvér nedôveruje všetkým správcom spustenia podpísaným certifikačnou autoritou 2011 a všetkým médiám, ktoré závisia od správcu spúšťania podpísaného certifikačnou autoritou 2011.
-
Zmiernenie 4: Použitie aktualizácie čísla zabezpečenej verzie na firmvér Použije aktualizáciu čísla zabezpečenej verzie (SVN) na firmvéru Secure Boot DBX. Keď sa spustí správca spúšťania s podpisom 2023, vykoná sa automatická kontrola porovnaním SVN uloženého vo firmvéri s SVN zabudovaným do správcu spúšťania. Ak je svn správcu spúšťania nižší ako svn firmvér, správca spustenia sa nespustí. Táto funkcia zabraňuje útočníkovi vrátiť správcu spustenia na staršiu neaktualizované verzie. V budúcich aktualizáciách zabezpečenia správcu spúšťania sa SVN zvýši a bude potrebné znova použiť obmedzenie rizík 4.
Dôležité Zmierňovanie 1 a zmiernenie 2 musí byť dokončené pred použitím zmiernenia 3 a zmiernenia 4.
Informácie o tom, ako použiť zmierňovanie 3 a zmiernenie 4 v dvoch samostatných krokoch (ak chcete byť opatrnejší, aspoň najprv) nájdete v téme KB5025885: Ako spravovať zrušenia správcu spúšťania systému Windows pre zmeny zabezpečeného spustenia priradené k CVE-2023-24932 Alebo môžete použiť obe obmedzenia spustením nasledujúcej operácie s jedným kľúčom databázy Registry ako správca:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Spoločné použitie oboch zmiernení bude na dokončenie operácie vyžadovať iba jeden reštart.
-
Obmedzenie rizík 3: Môžete overiť, že zoznam zrušených položiek bol úspešne použitý vyhľadaním identifikácie udalosti: 1037 v denníku udalostí podľa KB5016061: Udalosti aktualizácie secure boot DB a DBX premenných.Prípadne môžete ako správca spustiť nasledujúci príkaz prostredia PowerShell a skontrolovať, či vráti hodnotu True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Obmedzenie rizík 4: Metóda na potvrdenie použitia nastavenia SVN ešte neexistuje. Táto sekcia sa aktualizuje, keď bude k dispozícii riešenie.
Referencie
KB5016061: Udalosti aktualizácie premennej Secure Boot DB a DBX
