Uvod
Microsoft je bil seznanjen z ranljivostjo upravitelja zagona sistema Windows, ki napadalcu omogoča, da obide varni zagon. Težava v upravitelju zagona je bila odpravljena in izdana kot varnostna posodobitev. Preostala ranljivost je, da lahko napadalec s skrbniškimi pravicami ali fizičnim dostopom do naprave povrne upravitelja zagona na različico brez varnostnega popravka. To povrnitev nazaj ranljivost se uporablja z Zlonamerna programska oprema BlackLotus obiti Secure Boot, ki ga CVE-2023-24932. Če želite odpraviti to težavo, bomo preklicali ranljive upravitelje zagona.
Zaradi velikega števila upraviteljev zagona, ki jih je treba blokirati, uporabljamo drug način, da blokiramo upravitelje zagona. To vpliva na operacijske sisteme, ki niso Windows, saj bo moral biti v teh sistemih na voljo popravek, da se upravitelji zagona sistema Windows ne bodo uporabljali kot vektorji napada v operacijskih sistemih, ki niso Windows.
Več informacij
En način blokiranja ranljivih dvojiških vrednosti aplikacij EFI, ki jih ne bo naložila vdelana programska oprema, je dodajanje zmuzljivega števila ranljivih aplikacij na seznam prepovedanih aplikacij UEFI (DBX). Seznam DBX je shranjen v blisku, upravljani z vdelano programsko opremo naprav. Omejitev te metode blokiranja je omejen pomnilnik flash vdelane programske opreme, ki je na voljo za shranjevanje DBX. Zaradi te omejitve in velikega števila upraviteljev zagona, ki jih je treba blokirati (upravitelji zagona sistema Windows v zadnjih 10+ letih), za to težavo v celoti ne morete uporabiti zbirke podatkov DBX.
Za to težavo smo izbrali hibridni način blokiranja ranljivih upraviteljev zagona. V DBX bo dodanih le nekaj upraviteljev zagona, ki so bili izdani v starejših različicah sistema Windows. Za Windows 10 in novejše različice bo uporabljen pravilnik Windows Defender nadzor aplikacij (WDAC), ki blokira ranljive upravitelje zagona sistema Windows. Ko je pravilnik uporabljen za sistem Windows, bo upravitelj zagona pravilnik »zaklenil« v sistem tako, da vdelani programski opremi vmesnika UEFI doda spremenljivko. Upravitelji zagona sistema Windows bodo upoštevali pravilnik in zaklepanje UEFI. Če je zaklenjen vmesnik UEFI in je bil pravilnik odstranjen, se upravitelj zagona sistema Windows ne zažene. Če je pravilnik nameščen, se upravitelj zagona ne zažene, če ga je pravilnik blokiral.
Navodila za blokiranje ranljivih upraviteljev zagonov sistema Windows
OPOMBA Uporabnikom bi morala biti na voljo možnost, da uporabijo spremenljivko, tako da lahko nadzirajo, kdaj so zaščitene.
Če omogočite zaklepanje vmesnika UEFI, se bo obstoječi zagonski medij sistema Windows prenehal zagnati, dokler se predstavnost ne posodobi s posodobitvami sistema Windows, izdanimi 9. maja 2023 ali po tem. Navodila za posodobitev medijev najdete v posodobitvi KB5025885: Kako upravljati preklice upravitelja zagona sistema Windows za spremembe varnega zagona, povezane s CVE-2023-24932.
-
Za sisteme z omogočenimi varnim zagonom, ki se zaženejo le v operacijskih sistemih, ki niso Windows
Za sisteme, ki so šele zagnali operacijske sisteme, ki niso Windows, in ne bodo nikoli zagnali sistema Windows, se te ublažitve posledic lahko nemudoma uveljavijo v sistemu. -
Za sisteme z dvojnim zagonom sistema Windows in drugega operacijskega sistema
Pri sistemih, ki zaženejo sistem Windows, naj se ublažitve posledic, ki niso povezane s sistemom Windows, uveljavijo šele po posodobitvi operacijskega sistema Windows na posodobitve sistema Windows, izdane 9. maja 2023 ali po tem.
Ustvarjanje zaklepa UEFI
Ključavnica UEFI ima dve spremenljivki, ki sta potrebni za preprečevanje napadov na povrnitev prejšnjega gonilnika v upravitelju zagona sistema Windows. Te spremenljivke so:
-
Atributi SKU SiPolicy
Ta pravilnik ima te atribute:
-
ID vrste pravilnika:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Določeno ime datoteke z imenom »SkuSiPolicy.p7b«
-
Posebna fizična lokacija EFI\Microsoft\Boot
Tako kot vsi podpisani pravilniki WDAC tudi podpisan pravilnik o inventarju ščitita dve spremenljivki UEFI:
-
SKU_POLICY_VERSION_NAME: »SkuSiPolicyVersion«
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: »SkuSiPolicyUpdateSigners«
-
-
Inventarne spremenljivke
SiPolicy Ta pravilnik uporablja dve spremenljivki UEFI, shranjeni pod imenskim prostorom EFI/dobaviteljem
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
je vrste ULONGLONG/UInt64 med izvajanjem
-
je določena s<VersionEx>2.0.0.2</VersionEx> znotraj pravilnika XML v obliki (MAJOR). MANJŠE. REVIZIJA. BUILDNUMBER)
-
Prevedena je v ULONGLONG kot
((major##ULL << 48) + (minor##ULL << 32) + (revision##ULL << 16) + številka graditve)
Vsaka številka različice ima 16 bitov, tako da ima skupno 64 bitov.
-
Različica novejšega pravilnika mora biti enaka ali večja od različice, shranjene v spremenljivki UEFI med izvajanjem.
-
Opis: Nastavi različico pravilnika o zagonu celovitosti kode.
-
Atribute:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
UUID imenskega prostora:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Podatkovni tip:
uint8_t[8]
-
Podatkov:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Mora biti podpisnik sistema Windows.
-
Opis: Informacije podpisnika pravilnika.
-
Atribute:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
UUID imenskega prostora:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Podatkovni tip:
uint8_t[131]
-
Podatkov:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
Uporaba DBX-a
Za to težavo smo izdali datoteko DbxUpdate.bin v UEFI.org. Ti hashes vključujejo vse ukinjene upravitelje zagona sistema Windows, izdane med Windows 8 in začetno izdajo Windows 10 ki ne upoštevajo pravilnika o celovitosti kod.
Izredno pomembno je, da se ti uporabljajo pazljivo, saj lahko prekršijo sistem dvojnega zagona, ki uporablja več operacijskih sistemov in enega od teh upraviteljev zagona. Kratkoročno priporočamo, da za kateri koli sistem te loj e po želji uporabite te vrednosti.
