Originalni datum objavljivanja: Februar 13, 2025
KB ID: 5053946
Uvod
Ovaj dokument opisuje primenu zaštita od zaobilaženja javno objavljene bezbednosne funkcije Secure Boot koje koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932 za poslovna okruženja.
Kako bi se izbegli prekidi, Microsoft ne planira da primeni ova rešenja u preduzećima, ali pruža ova uputstva kako bi pomogla preduzećima da sama primene ta rešenja. To preduzećima daje kontrolu nad planom primene i vremenom primene.
Prvi koraci
Podelili smo primenu u više koraka koji se mogu postići na vremenskoj osi koja odgovara vašoj organizaciji. Trebalo bi da se upoznate sa ovim koracima. Kada dobro razumete korake, trebalo bi da razmotrite kako će oni funkcionisati u okruženju i da pripremite planove primene koji funkcionišu za vaše preduzeće na vremenskoj osi.
Dodavanje novog Windows UEFI CA 2023 certifikata i nepoverenje u Microsoft Windows Production PCA 2011 certifikat zahteva saradnju firmvera uređaja. Budući da postoji velika kombinacija hardvera uređaja i firmvera, a Microsoft ne može da testira sve kombinacije, preporučujemo vam da testirate reprezentativne uređaje u okruženju pre šire primene. Preporučujemo da testirate bar jedan uređaj od svakog tipa koji se koristi u organizaciji. Neki poznati problemi sa uređajem koji će blokirati ova rešenja dokumentovani su u sklopu KB5025885: Kako da upravljate opozivima programa Windows upravljač pokretanjem za promene sistema Secure Boot povezanim sa CVE-2023-24932. Ako otkrijete problem sa firmverom uređaja koji nije naveden u odeljku " Poznati problemi ", sarađujte sa OEM dobavljačem da biste rešili taj problem.
Budući da ovaj dokument upućuje na nekoliko različitih certifikata, oni su predstavljeni u sledećoj tabeli radi lakšeg upućivanja i jasnoće:
|
Stari 2011 CA |
Novi CA 2023 (ističe 2038.) |
Funkcija |
|
Microsoft Corporation KEK CA 2011 (ističe u julu 2026) |
Microsoft Corporation KEK CA 2023 |
Potpisuje DB i DBX ažuriranja |
|
Microsoft Windows Production PCA 2011 (PCA2011) (ističe u oktobru 2026.) |
Windows UEFI CA 2023 (PCA2023) |
Znaci Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (ističe u julu 2026.) |
Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 |
Znaci nezavisnih bootloadera i opcija ROM |
Važno Uverite se da ste primenili najnovije bezbednosne ispravke na mašine za testiranje pre testiranja uređaja sa ublažavanjima.
Napomena Tokom testiranja firmvera uređaja možete otkriti probleme koji sprečavaju ispravan rad ispravki za bezbedno pokretanje. Ovo može zahtevati nabavku ažuriranog firmvera od proizvođača (OEM proizvođača) i ažuriranje firmvera na uređajima na koje ovo utiče da bi se ublažili problemi koje otkrijete.
Postoje četiri ublažavanja koja se moraju primeniti da bi se zaštitili od napada opisanih u CVE-2023-24932:
-
Ublažavanje 1: Instaliranje ažurirane definicije certifikata (PCA2023) u bazi podataka
-
Ublažavanje 2:Ažuriranje upravljača pokretanjem na uređaju
-
Ublažavanje 3:Omogućavanje opoziva (PCA2011)
-
Ublažavanje 4:Primenite SVN ispravku na firmver
Ova četiri rešenja se mogu ručno primeniti na svaki od testiranih uređaja prateći uputstva opisana u smernicama za primenu ublažavanjaKB5025885: Kako da upravljate opozivima Windows upravljača pokretanjem za promene sistema Secure Boot povezanim sa CVE-2023-24932 ili praćenjem uputstava u ovom dokumentu. Sve četiri ublažavanja se oslanjaju na ispravan rad firmvera.
Razumevanje sledećih rizika pomoći će vam tokom procesa planiranja.
Problemi sa firmverom:Svaki uređaj ima firmver koji je obezbedio proizvođač uređaja. Za operacije primene opisane u ovom dokumentu, firmver mora da bude u stanju da prihvati i obradi ispravke za Secure Boot DB (baza podataka potpisa) i DBX (Forbidden Signature Database). Pored toga, firmver je odgovoran za proveru valjanosti potpisa ili aplikacija za pokretanje, uključujući i Windows upravljač pokretanjem. Firmver uređaja je softverski i, kao i svaki softver, može imati nedostatke, zbog čega je važno testirati ove operacije pre široke primene.Microsoft u toku testira mnogo kombinacija uređaja i firmvera, počevši od uređaja u okviru Microsoft laboratorija i kancelarija, a Microsoft radi sa OEM proizvođačima na testiranju njihovih uređaja. Skoro svi testirani uređaji su prošli bez problema. U nekoliko slučajeva videli smo probleme sa firmverom koji nije ispravno rukovanje ažuriranjima i radimo sa OEM proizvođačima na rešavanju problema kojih smo svesni.
Napomena Ako tokom testiranja uređaja otkrijete problem sa firmverom, preporučujemo da sarađujete sa proizvođačem uređaja/OEM proizvođačem kako biste rešili problem. Potražite ID događaja 1795 u evidenciji događaja. Pogledajte KB5016061: Događaji ažuriranja promenljive DB i DBX za više detalja o događajima Secure Boot.
Instalirajte medijum:Primenom rešenja 3 i 4 opisanih kasnije u ovom dokumentu, nijedan postojeći Windows instalacioni medijum više neće moći da se pokrene dok medij ne dobije ažurirani upravljač pokretanjem. Ublažavanja opisana u ovom dokumentu sprečavaju stare, ranjive upravljače pokretanjem da rade tako što im ne veruju u firmveru. Ovo sprečava napadača da vrati upravljač pokretanjem sistema na prethodnu verziju i iskoristi ranjivosti prisutne u starijim verzijama. Blokiranje ovih ranjivih upravljača pokretanjem ne bi trebalo da utiče na pokrenuti sistem. To će, međutim, sprečiti bilo koji pokretački mediji od početka dok se ne ažuriraju upravljači pokretanja na medijima. To uključuje ISO slike, USB diskove koji se mogu pokrenuti i mrežno pokretanje (PxE i HTTP pokretanje).
Ažuriranje na PCA2023 i novi upravljač pokretanjem
-
Ublažavanje 1: Instaliranje ažuriranih definicija certifikata u DB Dodaje novi Windows UEFI CA 2023 certifikat u UEFI Secure Boot Signature Database (DB). Dodavanjem ovog certifikata u bazu podataka, firmver uređaja će imati poverenja u Microsoft Windows aplikacije za pokretanje sistema koje ima ovaj certifikat.
-
Ublažavanje 2: Ažurirajte upravljač pokretanjem na uređaju Primenjuje novi Windows upravljač pokretanjem potpisan novim Windows UEFI CA 2023 certifikatom.
Ova rešenja su važna za dugoročnu ispravnost operativnog sistema Windows na ovim uređajima. Zbog toga što će Microsoft Windows Production PCA 2011 certifikat u firmveru isteći u oktobru 2026, uređaji moraju da imaju novi Windows UEFI CA 2023 certifikat u firmveru pre isteka ili uređaj više neće moći da prima ispravke za Windows, stavljajući ga u ranjivo bezbednosno stanje.
Da biste zajedno primenili sva rešenja, kao administrator pokrenite sledeću komandu:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f |
Kako se rešenja primenjuju, bitovi u vrednosti AvailableUpdates se brišu. Ovo može zahtevati više ponovnih pokretanja.
Ublažavanje upravljača pokretanjem se primenjuje tek kada firmver prijavi da je ublažavanje certifikata dovršeno. Ove korake nije moguće izvršiti van redosleda.
Kada se dovrši, UEFICA2023Status se postavlja na "Ažurirano".
Neki uređaji su možda već ažurirani ako su klasifikovani kao visoko pouzdani. Detalje potražite u uputstvima za Secure Boot.
Kada primenite rešenja na uređaje, trebalo bi da nadgledate uređaje da biste se uverili da su rešenja primenjena i da su sada "ažurirana". Nadgledanje se može vršiti traženjem sledećeg ključa registratora u sistemu. Ako ključ postoji i ako je podešen na vrednost "U toku", sistem je počeo da ažurira sistem. Ako ključ postoji i ako je podešen na "Ažurirano", onda sistem ima neophodne 2023 certifikate u DB i KEK i počinje sa 2023 potpisanim upravljačem pokretanja.
|
potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Ime ključne vrednosti |
UEFICA2023Status |
|
|
Tip podataka |
REG_SZ (niska) |
|
|
Podaci |
Odražava trenutno stanje ispravke ključa za bezbedno pokretanje sistema na uređaju. Postaviće se na jednu od sledećih tekstualnih vrednosti:
Prvobitni status je "Nije pokrenuto". Kada počne ažuriranje, ono se menja u "U toku" i na kraju u "Ažurirano" kada se primene svi novi ključevi i novi upravljač pokretanjem. Ako postoji greška, onda je vrednost registratora UEFICA2023Error postavljena na kod koji nije nula. |
|
Ažurirajte medijum za pokretanje
Nakon što se na vaše uređaje primene rešenje 1 i 2, možete da ažurirate bilo koji medijum za pokretanje koji koristite u okruženju. Ažuriranje medijuma za pokretanje podrazumeva primenu PCA2023 potpisanog upravljača pokretanjem na medijum. To uključuje ažuriranje slika za pokretanje mreže (kao što su PxE i HTTP), ISO slika i USB disk jedinica. U suprotnom, uređaji na koje su primenjena rešenja neće se pokretati sa medijuma za pokretanje koji koristi stariji Windows upravljač pokretanjem i 2011 CA.
Alatke i uputstva o tome kako da ažurirate svaki tip medija za pokretanje su dostupni ovde:
|
Tip medija |
Resurs |
|
ISO, USB disk jedinice i tako dalje |
|
|
PXE server za pokretanje sistema |
Dokumentacija će biti obezbeđena kasnije |
Tokom procesa ažuriranja medija trebalo bi da testirate medijum na uređaju koji ima sva četiri rešenja na mestu. Poslednja dva ublažavanja će blokirati starije, ranjive menadžere za pokretanje. Imati medije sa trenutnim upravljačima za pokretanje na mestu je važan deo dovršavanja ovog procesa.
Napomena Pošto su napadi funkcionisanja upravljača pokretanjem stvarnost i očekujemo da tekuće ispravke programa Windows upravljač pokretanjem reše bezbednosne probleme, preporučujemo da preduzeća planiraju poluregularna ažuriranja medija i da uspostave procese kako bi ažuriranje medija bilo lako i da vam oduzme manje vremena. Naš cilj je da ograničimo broj osvežavanja programa Media Boot Manager na najviše dva puta godišnje, ako je to moguće.
Medijum za pokretanje sistema ne uključuje sistemsku disk jedinicu uređaja na kojoj se Windows obično nalazi i odakle se automatski pokreće. Medijum za pokretanje se obično koristi za pokretanje uređaja koji nema verziju sistema Windows za pokretanje, a mediji za pokretanje sistema se često koriste za instaliranje operativnog sistema Windows na uređaju.
Postavke UEFI bezbednog pokretanja određuju koji upravljači pokretanjem da se veruju koristeći DB (baza podataka potpisa) i DBX (Zabranjena baza podataka potpisa). DB sadrži heševe i ključeve za pouzdani softver, a DBX skladišti opozvane, ugrožene i nepouzdane heševe i ključeve da bi sprečio neovlašćeni ili zlonamerni softver da se pokrene tokom procesa pokretanja.
Korisno je razmišljati o različitim stanjima u kojima uređaj može da se nalazi i koji mediji za pokretanje sistema mogu da se koriste sa uređajem u svakom od ovih stanja. U svim slučajevima, firmver određuje da li treba da veruje upravljaču pokretanja koji je predstavljen i, kada pokrene upravljač pokretanjem, firmvare više ne konsultuje DB i DBKS. Mediji za pokretanje mogu da koriste 2011 CA potpisan upravljač za pokretanje ili 2023 CA potpisan upravljač za pokretanje, ali ne i oba. Sledeći odeljak opisuje u kojim državama se uređaj može nalaziti i, u kojim slučajevima, koji mediji mogu da se pokrenu sa uređaja.
Ovi scenariji sa uređajima mogu da budu od pomoći pri pravljenju planova za primenu ublažavanja na svim uređajima.
Novi uređaji
Neki novi uređaji počeli su da se isporučuju sa 2011 i 2023 CA-ovima unapred instaliranim u firmveru uređaja. Nisu svi proizvođači prešli na oba i možda i dalje isporučuju uređaje samo sa unapred instaliranim KSNUMKS CA.
-
Uređaji sa 2011 i 2023 CA-ovima mogu da pokrenu medije koji sadrže 2011 CA potpisan upravljač pokretanjem ili 2023 CA potpisani upravljač pokretanjem.
-
Uređaji koji imaju instaliran samo 2011 CA mogu da pokrenu samo medije sa 2011 CA potpisanim upravljačem za pokretanje. Većina starijih medija uključuje 2011 CA potpisanih boot manger.
Uređaji sa ublažavanjima 1 i 2
Na ovim uređajima je unapred instaliran 2011 CA i, primenom Mitigation 1, sada imaju instaliran 2023 CA Pošto ovi uređaji veruju oba autoriteta za izdavanje certifikata, ovi uređaji mogu da pokrenu i medije pomoću 2011 CA i 2023 potpisanog upravljača pokretanjem.
Uređaji sa ublažavanjima 3 i 4
Ovi uređaji imaju 2011 CA uključen u DBX i više neće verovati medijima sa 2011 CA potpisanim upravljač pokretanjem. Uređaj sa ovom konfiguracijom pokreće medije samo sa 2023 CA potpisanim upravljačem pokretanjem.
Uspostavljanje početnih vrednosti za Secure Boot
Ako su postavke bezbednog pokretanja vraćene na podrazumevane vrednosti, ublažavanja koja su primenjena na DB (dodavanje 2023 CA) i DBX (nepoverenje 2011 CA) možda više neće biti na snazi. Ponašanje će zavisiti od podrazumevanih vrednosti firmvera.
DBX
Ako su primenjene ublažavanja 3 i/ili 4 i DBKS je obrisan, onda 2011 CA neće biti na DBX listi i dalje će se verovati. Ako se to desi, biće neophodna ponovna primena ublažavanja 3 i/ili 4.
Član baze podataka
Ako je baza podataka sadržala 2023 CA i ona se uklanja resetovanjem postavki bezbednog pokretanja na podrazumevane vrednosti, sistem se možda neće pokrenuti ako se uređaj oslanja na 2023 CA potpisani upravljač pokretanjem. Ako se uređaj ne pokrene, koristite alatku securebootrecovery.efi opisanu u KB5025885: Kako upravljati opozivima programa Windows upravljač pokretanjem za promene sistema Secure Boot povezanim sa CVE-2023-24932 da biste oporavili sistem.
Onemogućite poverenja PCA2011 i primenite broj bezbedne verzije na DBX
-
Ublažavanje 3: Omogućavanje opoziva Poništava poverenja u Microsoft Windows Production PCA 2011 certifikat tako što ga dodaje u firmver DBX za bezbedno pokretanje sistema. To će dovesti do toga da firmvare ne veruje svim 2011 CA potpisao boot menadžere i sve medije koji se oslanjaju na 2011 CA potpisao boot manager.
-
Ublažavanje 4: Primenite bezbednu ispravku broja verzije na firmver Primenjuje ispravku Secure Version Number (SVN) na firmver Secure Boot DBX. Kada 2023-potpisan boot manager počne da radi, on vrši samoproveru upoređujući SVN uskladišten u firmveru sa SVN-om ugrađenim u upravljač pokretanjem. Ako je SVN upravljača pokretanjem niži od SVN firmvera, upravljač pokretanjem se neće pokrenuti. Ova funkcija sprečava napadača da vrati upravljač pokretanjem na stariju, neažuriranu verziju. Za buduće bezbednosne ispravke za upravljač pokretanjem, SVN će biti povećan i Mitigation 4 će morati ponovo da se primeni.
Važno Ublažavanje 1 i ublažavanje 2 moraju biti dovršeni pre primene ublažavanja 3 i ublažavanja 4.
Informacije o tome kako da primenite rešenje 3 i 4 u dva odvojena koraka (ako želite da budete oprezniji, bar u početku) pogledajte KB5025885: Kako da upravljate opozivima programa Windows upravljač pokretanjem za promene sistema Secure Boot povezanim sa CVE-2023-24932 Odnosno možete da primenite oba ublažavanja tako što ćete kao administrator pokrenuti sledeću operaciju sa jednim ključem registratora:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Za primenu oba rešenja zajedno biće potrebno samo jedno ponovno pokretanje da bi se operacija dovršila.
-
Ublažavanje 3: Možete da proverite da li je lista opozvanih podataka uspešno primenjena tako što ćete potražiti ID događaja: 1037 u evidenciji događaja, po KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja.Alternativno, možete da pokrenete sledeću PowerShell komandu kao administrator i uverite se da vraća vrednost "Tačno":
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Ublažavanje 4: Metod za potvrdu da je SVN postavka primenjena još uvek ne postoji. Ovaj odeljak će biti ažuriran kada rešenje postane dostupno.
Reference
KB5016061: Događaji ažuriranja promenljive DB i DBX bezbednog pokretanja
|
Datum promene |
Opis promene |
|---|---|
|
10. jun 2026. |
|
