Pôvodný dátum publikovania: Februára 13, 2025
ID KB: 5053946
Úvod
Tento dokument popisuje nasadenie ochrany pred verejne zverejneným obídením funkcie zabezpečenia zabezpečeného zavedenia systému, ktoré používa spúšťaciu súpravu BlackLotus UEFI sledovanú CVE-2023-24932 pre podnikové prostredia.
Spoločnosť Microsoft neplánuje nasadiť tieto zmiernenia v podnikoch, aby sa predišlo narušeniam, ale poskytuje tento sprievodný materiál, aby pomohla podnikom aplikovať samotné zmiernenia. Podniky tak môžu riadiť plán nasadenia a načasovanie nasadenia.
Začíname
Nasadenie sme rozdelili do viacerých krokov, ktoré možno vykonať na časovej osi vyhovujúcej vašej organizácii. Mali by ste sa s týmito krokmi oboznámiť. Keď krokom dobre porozumiete, mali by ste zvážiť, ako budú fungovať vo vašom prostredí, a pripraviť plány nasadenia, ktoré budú vyhovovať vášmu podniku na časovej osi.
Pridanie nového certifikátu Windows UEFI CA 2023 a zrušenie dôvery certifikátu Microsoft Windows Production PCA 2011 vyžaduje spoluprácu firmvéru zariadenia. Keďže existuje veľká kombinácia hardvéru a firmvéru zariadenia a spoločnosť Microsoft nedokáže otestovať všetky kombinácie, odporúčame vám pred rozsiahlym nasadením otestovať reprezentatívne zariadenia vo vašom prostredí. Odporúčame otestovať aspoň jedno zariadenie každého typu, ktoré sa používa vo vašej organizácii. Niektoré známe problémy so zariadením, ktoré zablokujú tieto obmedzenia, sú zdokumentované ako súčasť KB5025885: Ako spravovať odvolania správcu spustenia Windows pre zmeny Zabezpečeného spustenia súvisiace s CVE-2023-24932. Ak zistíte problém s firmvérom zariadenia, ktorý nie je uvedený v časti Známe problémy , problém vyriešte s dodávateľom OEM.
Keďže tento dokument odkazuje na niekoľko rôznych certifikátov, sú uvedené v nasledujúcej tabuľke, aby boli jednoduché a prehľadnejšie:
|
Staré certifikačné autority z roku 2011 |
Nové certifikačné autority 2023 (platnosť uplynie v roku 2038) |
Funkcia |
|
Microsoft Corporation KEK CA 2011 (platnosť vyprší v júli 2026) |
Microsoft Corporation KEK CA 2023 |
Podpísanie aktualizácií DB a DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (platnosť vyprší v októbri 2026) |
Windows UEFI CA 2023 (PCA2023) |
Znaky zavádzania systému Windows |
|
Microsoft Corporation UEFI CA 2011 (platnosť vyprší v júli 2026) |
Microsoft UEFI CA 2023 a Microsoft Option ROM UEFI CA 2023 |
Podpisuje zavádzacie programy tretích strán a voliteľné ROM |
Dôležité Pred testovaním zariadení s obmedzeniami rizík nezabudnite na testovacie zariadenia použiť najnovšie aktualizácie zabezpečenia.
Poznámka Počas testovania firmvéru zariadenia môžete zistiť problémy, ktoré bránia správnemu fungovaniu aktualizácií Zabezpečeného zavedenia systému. To môže vyžadovať získanie aktualizovaného firmvéru od výrobcu (OEM) a aktualizáciu firmvéru v dotknutých zariadeniach, aby sa zmiernili problémy, ktoré zistíte.
Na ochranu pred útokmi opísanými v CVE-2023-24932 je potrebné použiť štyri zmierňujúce opatrenia:
-
Obmedzenie rizík 1: Nainštalujte aktualizovanú definíciu certifikátu (PCA2023) do databázy
-
Zmiernenie 2:Aktualizácia správcu spúšťania v zariadení
-
Obmedzenie 3:Povolenie zrušenia (PCA2011)
-
Obmedzenie rizík 4:Použitie aktualizácie SVN na firmvér
Tieto štyri zmiernenia je možné manuálne použiť na každé z testovacích zariadení podľa pokynov popísaných v pokynoch na nasadenie obmedzenia rizíkz KB5025885: Ako spravovať odvolania Správcu spustenia systému Windows pre zmeny Zabezpečeného spustenia súvisiace s CVE-2023-24932 alebo podľa pokynov v tomto dokumente. Všetky štyri zmiernenia rizika sa spoliehajú na správne fungovanie firmvéru.
Pochopenie nasledujúcich rizík vám pomôže počas procesu plánovania.
Problémy s firmvérom:Každé zariadenie má firmvér poskytnutý výrobcom zariadenia. V prípade operácií nasadenia popísaných v tomto dokumente musí byť firmvér schopný prijímať a spracovávať aktualizácie databázy Secure Boot DB (Signature Database) a DBX (Forbidden Signature Database). Okrem toho je firmvér zodpovedný za overenie podpisu alebo spúšťacie aplikácie vrátane správcu spustenia Windows. Firmvér zariadenia je softvérový a ako každý softvér môže mať chyby, preto je dôležité tieto operácie pred rozsiahlym nasadením otestovať.Spoločnosť Microsoft momentálne testuje mnoho kombinácií zariadení a firmvéru, počnúc zariadeniami v laboratóriách a kanceláriách spoločnosti Microsoft, a spolupracuje s výrobcami OEM na testovaní ich zariadení. Takmer všetky testované zariadenia prešli bez problémov. V niekoľkých prípadoch sme zaznamenali problémy s firmvérom, ktorý nesprávne spracovával aktualizácie. Na riešení problémov, o ktorých vieme, pracujeme s výrobcami OEM.
Poznámka Ak počas testovania zariadenia zistíte problém s firmvérom, odporúčame vám spolupracovať s výrobcom zariadenia alebo výrobcom originálnych dielov (OEM). V denníku udalostí vyhľadajte ID udalosti 1795 . Ďalšie podrobnosti o udalostiach zabezpečeného spustenia nájdete v téme KB5016061: Udalosti aktualizácie premennej Secure Boot DB a DBX .
Inštalácia média:Po použití Zmiernenia 3 a 4 popísaného ďalej v tomto dokumente nebude možné spustiť žiadne existujúce inštalačné médium systému Windows, kým médium nebude mať aktualizovaného správcu spúšťania. Zmiernenia popísané v tomto dokumente bránia starým, zraniteľným správcom spustenia spustenia tým, že im nedôverujú vo firmvéri. Toto zabráni útočníkovi vrátiť späť správcu zavádzania systému na predchádzajúcu verziu a využiť zraniteľnosti prítomné v starších verziách. Zablokovanie týchto nedostatočných správcov spúšťania by nemalo mať žiadny vplyv na spustený systém. Zabráni však spusteniu akéhokoľvek spúšťacieho média, kým nebudú správcovia spúšťania médií na médiu aktualizovaní. Patria sem obrazy ISO, spustiteľné USB disky a sieťové spustenie (PxE a HTTP boot).
Aktualizácia PCA2023 a nového správcu spustenia
-
Obmedzenie rizík 1: Inštalácia aktualizovaných definícií certifikátov do databázy Pridá nový certifikát Windows UEFI CA 2023 do databázy podpisov zabezpečeného zavedenia systému UEFI (DB). Pridaním tohto certifikátu do databázy bude firmvér zariadenia dôverovať aplikáciám Microsoft Windows Boot podpísaným týmto certifikátom.
-
Zmiernenie 2: Aktualizujte správcu spustenia v zariadení Používa nového správcu spustenia systému Windows podpísaného novým certifikátom Windows UEFI CA 2023.
Tieto obmedzenia sú dôležité pre dlhodobú použiteľnosť Windowsu v týchto zariadeniach. Pretože platnosť certifikátu Microsoft Windows Production PCA 2011 vo firmvéri uplynie v októbri 2026, zariadenia musia mať pred vypršaním platnosti vo firmvéri nový certifikát Windows UEFI CA 2023, inak zariadenie už nebude môcť prijímať aktualizácie Windowsu, čím sa dostane do zraniteľného stavu zabezpečenia.
Ak chcete použiť všetky obmedzenia súčasne, spustite nasledujúci príkaz ako správca:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
Po uplatnení obmedzení rizík sa bity v hodnote AvailableUpdates vymažú. Môže to vyžadovať viacnásobné reštartovanie.
Obmedzenie rizík správcu spustenia sa použije až potom, ako firmvér oznámi, že obmedzenie rizík certifikátu je dokončené. Tieto kroky nemôžu byť vykonané v nesprávnom poradí.
Po dokončení sa UEFICA2023Status nastaví na možnosť Aktualizované.
Niektoré zariadenia už môžu byť aktualizované, ak boli klasifikované ako zariadenia s vysokou spoľahlivosťou. Podrobnosti nájdete v pokynoch na zabezpečené spustenie.
Po nasadení obmedzení rizík do zariadení by ste mali monitorovať svoje zariadenia, aby ste sa uistili, že majú uplatnené obmedzenia rizík a sú teraz "aktualizované". Monitorovanie je možné vykonať vyhľadaním nasledujúceho kľúča databázy Registry v systéme. Ak kľúč existuje a je nastavený na hodnotu InProgress, systém začal aktualizovať systém. Ak kľúč existuje a je nastavený na možnosť Aktualizované, potom má systém potrebné certifikáty 2023 v DB a KEK a začína podpísaným správcom spúšťania 2023.
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Názov hodnoty kľúča |
UEFICA2023Stav |
|
|
Typ údajov |
REG_SZ (reťazec) |
|
|
Údaje |
Odráža aktuálny stav aktualizácie kľúča Secure Boot v zariadení. Nastaví sa na jednu z nasledujúcich textových hodnôt:
Spočiatku je stav NotStarted. Po spustení aktualizácie sa zmení na InProgress a nakoniec na Updated po nasadení všetkých nových kľúčov a nového správcu spustenia. Ak sa vyskytne chyba, hodnota databázy Registry UEFICA2023Error je nastavená na nenulový kód. |
|
Aktualizácia spúšťacieho média
Po uplatnení opatrení na zmiernenie 1 a 2 na vaše zariadenia môžete aktualizovať všetky spustiteľné médiá, ktoré používate vo svojom prostredí. Aktualizácia spúšťacieho média znamená, že na médium použijete PCA2023 podpísaného správcu spúšťania. To zahŕňa aktualizáciu obrazov spúšťania siete (napríklad PxE a HTTP), obrazov ISO a USB kľúčov. V opačnom prípade sa zariadenia s použitými obmedzeniami rizík nespustia zo zavádzacieho média, ktoré používa staršiu verziu Správcu spustenia systému Windows a certifikačnú autoritu 2011.
Nástroje a pokyny na aktualizáciu jednotlivých typov spúšťacích médií sú k dispozícii tu:
|
Typ média |
Zdroj informácií |
|
ISO, USB kľúče atď. |
|
|
Spúšťací server PXE |
Dokumentácia, ktorá sa poskytne neskôr |
Počas procesu aktualizácie médií by ste sa mali uistiť, že médium je testované v zariadení, ktoré má nastavené všetky štyri obmedzenia rizík. Posledné dve zmiernenia zablokujú staršie, zraniteľné správcov spúšťania. Používanie médií s aktuálnymi správcami spustenia je dôležitou súčasťou tohto procesu.
Poznámka Keďže útoky na vrátenie zmien správcu spustenia sú realitou a očakávame, že priebežné aktualizácie správcu spustenia systému Windows budú riešiť problémy so zabezpečením, odporúčame, aby podniky naplánovali čiastočné pravidelné aktualizácie médií a zaviedli procesy, vďaka ktorým budú aktualizácie médií jednoduché a menej časovo náročné. Naším cieľom je obmedziť počet obnovení správcu spustenia médií maximálne dvakrát ročne, ak je to možné.
Spúšťacie médium nezahŕňa systémovú jednotku zariadenia, na ktorej sa Windows zvyčajne nachádza a odkiaľ sa automaticky spúšťa. Spustiteľné médium sa bežne používa na spustenie zariadenia, ktoré nemá spustiteľnú verziu systému Windows. Spúšťacie médium sa často používa na inštaláciu systému Windows do zariadenia.
Nastavenia zabezpečeného spustenia UEFI určujú, ktorým správcom spustenia dôverovať. Používajú databázu Zabezpečeného zavedenia systému DB (Signature Database) a DBX (Forbidden Signature Database). Databáza DB obsahuje hodnoty hash a kľúče dôveryhodného softvéru a databáza DBX ukladá zrušené, zneužité a nedôveryhodné hodnoty hash a kľúče, ktoré majú zabrániť spusteniu neoprávneného alebo škodlivého softvéru počas procesu spúšťania.
Je užitočné porozmýšľať o rôznych stavoch, v ktorých sa zariadenie môže nachádzať, a o tom, aké spúšťacie médiá možno so zariadením v jednotlivých stavoch používať. Vo všetkých prípadoch firmvér určí, či má dôverovať správcovi zavádzania, ktorý je mu predložený, a po spustení správcu zavádzania už firmvér nebude db a DBX konzultovať. Spustiteľné médiá môžu používať správcu spúšťania podpísaného certifikačnou autoritou z roku 2011 alebo správcu spúšťania podpísaného certifikačnou autoritou z roku 2023, ale nie oboje. Ďalšia časť popisuje, v akých stavoch sa zariadenie môže nachádzať a v niektorých prípadoch aké médiá je možné zo zariadenia spustiť.
Tieto scenáre zariadení vám môžu pomôcť pri plánovaní nasadenia obmedzení rizík vo všetkých zariadeniach.
Nové zariadenia
Niektoré nové zariadenia sa začali dodávať s certifikačnými autoritami z rokov 2011 aj 2023 predinštalovanými vo firmvéri zariadenia. Nie všetci výrobcovia prešli na obe a môžu stále dodávať zariadenia len s predinštalovanou certifikačnou autoritou 2011.
-
Zariadenia s certifikačnou autoritou 2011 aj 2023 môžu spustiť médiá, ktoré zahŕňajú buď správcu spustenia podpísaného certifikačnou autoritou 2011 alebo správcu spustenia podpísaného certifikačnou autoritou 2023.
-
Zariadenia s nainštalovanou certifikačnou autoritou 2011 môžu spúšťať médiá iba s podpísaným správcom spúšťania certifikačnej autority 2011. Väčšina starších médií zahŕňa správcu spustení z roku 2011 podpísané CA.
Zariadenia s obmedzeniami rizík 1 a 2
V týchto zariadeniach bola predinštalovaná certifikačná autorita 2011 a použitím zmiernenia 1 je teraz nainštalovaná certifikačná autorita 2023. Keďže tieto zariadenia dôverujú obom certifikačným autoritám, môžu spustiť médiá pomocou certifikačnej autority 2011 aj správcu spúšťania s podpisom 2023.
Zariadenia s obmedzeniami rizík 3 a 4
Tieto zariadenia majú certifikačnú autoritu 2011 zahrnutú v DBX a už nebudú dôverovať médiám s správcom spúšťania podpísaným certifikačnou autoritou 2011. Zariadenie s touto konfiguráciou spustí médium iba s správcom spúšťania podpísaným certifikačnou autoritou z roku 2023.
Obnovenie zabezpečeného spustenia na výrobné nastavenia
Ak sa nastavenia zabezpečeného spustenia obnovili na predvolené hodnoty, všetky zmiernenia, ktoré boli použité na DB (pridanie certifikačnej autority 2023) a DBX (bez dôvery certifikačnej autorite 2011), už nemusia byť zavedené. Správanie bude závisieť od predvolených nastavení firmvéru.
DBX
Ak boli uplatnené obmedzenia 3 a/alebo 4 a DBX je vymazaná, potom certifikačná autorita 2011 nebude v zozname DBX a bude naďalej dôveryhodná. Ak k tomu dôjde, bude potrebné znova použiť obmedzenia rizík 3 a/alebo 4.
DB
Ak databáza obsahovala certifikačnú autoritu 2023 a odstráni sa obnovením predvolených nastavení zabezpečeného spustenia, systém sa nemusí spustiť, ak sa zariadenie spolieha na správcu spustenia podpísaného certifikačnou autoritou 2023. Ak sa zariadenie nespustí, použite nástroj securebootrecovery.efi popísaný v KB5025885: Ako spravovať odvolania správcu spustenia Windows pre zmeny Zabezpečeného spustenia súvisiace s CVE-2023-24932 na obnovenie systému.
Zrušenie dôvery PCA2011 a použitie čísla zabezpečenej verzie na DBX
-
Zmiernenie 3: Povoľte odvolanie Stráca dôveru certifikátu Microsoft Windows Production PCA 2011 jeho pridaním do firmvéru Secure Boot DBX. To spôsobí, že firmvér nebude dôverovať všetkým správcom spúšťania podpísaným certifikačnou autoritou 2011 a všetkým médiám, ktoré závisia od správcu spúšťania podpísaného certifikačnou autoritou 2011.
-
Zmiernenie 4: Použitie aktualizácie čísla zabezpečenej verzie na firmvér Použije aktualizáciu Secure Version Number (SVN) na firmvér Secure Boot DBX. Keď sa spustí správca zavádzania podpísaný v roku 2023, vykoná vlastnú kontrolu porovnaním SVN uloženého vo firmvéri s SVN zabudovaným do správcu zavádzania. Ak je SVN správcu zavádzania nižšie ako SVN firmvéru, správca spúšťania sa nespustí. Táto funkcia zabraňuje útočníkovi vrátiť späť správcu zavádzania na staršiu neaktualizovanú verziu. Pri budúcich aktualizáciách zabezpečenia správcu spúšťania sa SVN zvýši a bude potrebné znovu použiť obmedzenie rizík 4.
Dôležité Pred použitím obmedzení 3 a 4 je potrebné vykonať zmiernenie 1 a 2.
Informácie o tom, ako použiť zmiernenie 3 a 4 v dvoch samostatných krokoch (ak chcete byť obozretnejší, aspoň na začiatku), nájdete v téme KB5025885: Ako spravovať odvolania správcu spustenia systému Windows pre zmeny zabezpečeného spustenia súvisiace s CVE-2023-24932 Prípadne môžete použiť obe zmiernenia spustením nasledujúcej operácie jedného kľúča databázy Registry ako správca:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Súčasné použitie oboch obmedzení rizík bude vyžadovať iba jedno reštartovanie na dokončenie operácie.
-
Obmedzenie 3: Ak chcete overiť úspešné použitie zoznamu zrušených položiek, vyhľadajte v denníku udalostí ID udalosti: 1037 na KB5016061: Secure Boot DB a udalosti aktualizácie premenných DBX.Prípadne môžete ako správca spustiť nasledujúci príkaz PowerShell a skontrolovať, či vracia hodnotu True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Obmedzenie rizík 4: Metóda potvrdenia použitia nastavenia SVN zatiaľ neexistuje. Táto sekcia sa aktualizuje, keď bude k dispozícii riešenie.
Referencie
KB5016061: Udalosti aktualizácie zabezpečeného zavedenia systému DB a premennej DBX
|
Dátum zmeny |
Popis zmeny |
|---|---|
|
Júna 10, 2026 |
|
