Originalni datum objavljivanja: 13. februar 2025.
KB ID: 5053946
Uvod
Ovaj dokument opisuje primenu zaštita od javno otkrivane bezbednosne funkcije bezbednog pokretanja koja koristi BlackLotus UEFI bootkit koji prati CVE-2023-24932 za poslovna okruženja.
Da bi se izbegli prekidi, Microsoft ne planira da primeni ta umanjivanja u preduzećima, već pruža ovaj vodič kako bi preduzećima pomogao da primene sama umanjivanja. To preduzećima daje kontrolu nad planom primene i vremenskim rasporedom primena.
Koraci
Podelili smo primenu na više koraka koji se mogu postići na vremenskoj osi koja odgovara vašoj organizaciji. Trebalo bi da se upoznate sa ovim koracima. Kada dobro razumete korake, trebalo bi da razmislite o tome kako će oni funkcionisati u vašem okruženju i pripremite planove za primenu koji funkcionišu za vaše preduzeće na vremenskoj osi.
Dodavanje novog windows UEFI CA 2023 certifikata i nepouzdanje certifikata Microsoft Windows Production PCA 2011 zahteva saradnju iz firmvera uređaja. Pošto postoji velika kombinacija hardvera i firmvera uređaja, a Microsoft ne može da testira sve kombinacije, podstičemo vas da testirate reprezentativni uređaj u okruženju pre nego što izvršite široku primenu. Preporučujemo da testirate najmanje jedan uređaj svakog tipa koji se koristi u vašoj organizaciji. Neki poznati problemi sa uređajem koji će blokirati ova umanjivanja dokumentovani su kao deo programa KB5025885: Kako upravljati opomenama upravljača windows pokretanjem za promene bezbednog pokretanja povezane sa CVE-2023-24932. Ako otkrijete problem sa firmverom uređaja koji nije naveden u odeljku Poznati problemi, radite sa OEM dobavljačem da biste rešili problem.
Budući da ovaj dokument upućuje na nekoliko različitih certifikata, oni su predstavljeni u sledećoj tabeli radi lakog upućivanja i jasnoće:
|
CAs iz 2011. |
Novi CAs za 2023. (ističe 2038. godine) |
Funkciju |
|
Microsoft Corporation KEK CA 2011 (ističe u julu 2026.) |
Microsoft Corporation KEK CA 2023 |
Potpisi ispravke za DB i DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (ističe u oktobru 2026.) |
Windows UEFI CA 2023 (PCA2023) |
Potpisi za Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (ističe u julu 2026.) |
Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 |
Potpisi nezavisne otpremače i opcije ROM-ova |
Vaћno Obavezno primenite najnovije bezbednosne ispravke na probne mašine pre nego što testirate uređaje sa umanjinjima.
Napomena Tokom testiranja firmvera na uređaju možete otkriti probleme koji sprečavaju ispravno funkcionisanje ispravki za bezbedno pokretanje. Ovo može zahtevati pribavljanje ažuriranog firmvera od proizvođača (OEM) i ažuriranje firmvera na ugroženim uređajima kako bi se umanjili problemi koje otkrijete.
Postoje četiri umanjivanja koja se moraju primeniti da bi se zaštitila od napada opisanih u verzijama CVE-2023-24932:
-
Umanjivanje 1: Instaliranje ažurirane definicije certifikata (PCA2023) u DB
-
Umanjivanje 2:Ažuriranje upravljača za pokretanje na uređaju
-
Umanjivanje 3:Omogući opo pozivanje (PCA2011)
-
Umanjivanje 4:Primena SVN ispravke na firmver
Ova četiri umanjivanja mogu se ručno primeniti na svaki od uređaja za testiranje prateći uputstva opisana u uputstvima za umanjivanje primene sistema KB5025885: Kako da upravljate opozvacima Upravljača za pokretanje operativnog sistema Windows za promene bezbednog pokretanja povezane sa sistemom CVE-2023-24932 ili praćenjem uputstva u ovom dokumentu. Sva četiri umanjivanja oslanjaju se na firmver kako bi ispravno funkcionisao.
Razumevanje sledećih rizika pomoći će vam tokom procesa planiranja.
Problemi sa firmverom:Svaki uređaj ima firmver koji obezbeđuje proizvođač uređaja. Za operacije primene opisane u ovom dokumentu firmver mora da bude u mogućnosti da prihvati i obradi ispravke baze podataka za bezbedno pokretanje (baza podataka za potpisivanje) i DBX (baza podataka zabranjenih potpisa). Pored toga, firmver je odgovoran za proveru valjanosti aplikacija za potpis ili pokretanje, uključujući Windows upravljač pokretanja. Firmver uređaja je softver i, kao i svaki softver, možda ima greške, zbog čega je važno testirati ove operacije pre široke primene.Microsoft trenutno testira mnoge kombinacije uređaja/firmvera, počevši od uređaja u Microsoft laboratorijama i kancelarijama, a Microsoft radi sa OEM proizvođačima na testiranju njihovih uređaja. Skoro svi testirani uređaji su prošli bez problema. U nekoliko slučajeva videli smo probleme sa firmverom koji ne rukuje ispravno ispravkama i radimo sa OEM-ovima na rešavanju problema koji su nam dostupni.
Napomena Ako tokom testiranja uređaja otkrijete problem sa firmverom, preporučujemo da radite sa proizvođačem uređaja/OEM-om da biste rešili problem. Potražite ID događaja 1795 u evidenciji događaja. Pogledajte KB5016061: Događaji promenljivih promenljivih za bezbedno pokretanje i događaji promenljivih DBX datoteka za više detalja o događajima bezbednog pokretanja.
Instaliraj medije:Primenom Umanjivanja 3 i Umanjivanja 4 opisanih kasnije u ovom dokumentu, svi postojeći Windows install mediji više neće moći da se počinju dok mediji ne budu imaju ažurirani upravljač pokretanjom. Umanjivanja opisana u ovom dokumentu sprečavaju stare, ranjive menadžere pokretanja tako što ih ne poniraju u firmveru. To sprečava napadača da vrati upravljač sistemskog pokretanja na prethodnu verziju i iskoristi ranjivosti prisutne u starijim verzijama. Blokiranje ovih ranjivih menadžera za pokretanje ne bi trebalo da utiče na pokrenuti sistem. Međutim, to će sprečiti pokretanje medija koji se mogu pokrenuti dok se ne ažuriraju menadžeri za pokretanje na medijima. To obuhvata ISO slike, USB diskove koji se mogu pokrenuti i mrežno pokretanje (PxE i HTTP pokretanje).
Ažuriraj na PCA2023 i novi menadžer za pokretanje
-
Ublaženje 1: Instaliranje ažuriranih definicija certifikata u DB Dodaje novi Windows UEFI CA 2023 certifikat u UEFI bazu podataka potpisa za bezbedno pokretanje (DB). Ako dodate ovaj certifikat u DB, firmver uređaja će imati poverenja u microsoft Windows aplikacije za pokretanje koje je potpisao ovaj certifikat.
-
Umanjivanje 2: Ažuriranje upravljača za pokretanje na uređaju Primenjuje novi Windows upravljač pokretanja potpisan novim Windows UEFI CA 2023 certifikatom.
Ova umanjivanja su važna za dugoročno servisiranje operativnog sistema Windows na ovim uređajima. Pošto certifikat Microsoft Windows Production PCA 2011 u firmveru ističe u oktobru 2026. godine, uređaji moraju da imaju novi Windows UEFI CA 2023 certifikat u firmveru pre isteka ili uređaj više neće moći da prima ispravke za Windows, što ga stavlja u ranjivo bezbednosno stanje.
Informacije o tome kako da primenite Umanjivanje 1 i Umanjivanje 2 u dva zasebna koraka (ako želite da budete oprezniji, bar u početku) pogledajte KB5025885: Kako da upravljate opoznacima Windows upravljača pokretanjem za promene bezbednog pokretanja povezane sa funkcijaMA CVE-2023-24932. Možete i da primenite oba umanjivanja tako što ćete pokrenuti sledeću operaciju pojedinačnog ključa registratora kao administrator:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Kako se primenjuju umanjivanja, bitovi u ključu AvailableUpdates će biti obrisani. Nakon podešavanja na 0x140 i ponovnog pokretanja, vrednost će se promeniti u 0x100 a zatim, nakon ponovnog pokretanja, promeniće se u 0x000.
Umanjivanje upravljača pokretanja neće se primeniti dok firmver ne ukazuje na to da je umanjivanje certifikata iz 2023. uspešno primenjeno. Ove operacije ne mogu da se izvršavaju bez redosleda.
Kada se primene oba umanjivanja, biće postavljen ključ registratora koji ukazuje na to da je sistem "2023 sposoban", što znači da medijum može da se ažurira, a umanjivanje 3 i umanjivanje 4 može da se primeni.
U većini slučajeva, dovršavanje umanjivanja 1 i Umanjivanje 2 zahteva bar dva ponovnog pokretanja pre nego što se u potpunosti primene umanjivanja. Dodavanje dodatnih ponovnog pokretanja u okruženju pomoći će vam da obezbedite da se umanjivanja primene ranije. Međutim, možda nije praktično da veštački ubrizgavate dodatna ponovno pokretanje i možda će imati smisla da se oslanjate na mesečna ponovna pokretanja koja se javljaju u sklopu primene bezbednosnih ispravki. To znači manje ometanja u okruženju, ali rizikujete da vam bude potrebno više vremena da budete bezbedni.
Nakon primene Umanjivanja 1 i Umanjivanja 2 na uređaje, trebalo bi da nadgledate uređaje da biste se uverili da su primenjena umanjivanja i da sada imaju "2023 može". Nadgledanje se može obaviti traženjem sledećeg ključa registratora u sistemu. Ako ključ postoji i ako je postavljen na 1, sistem je dodao 2023 certifikat u promenljivu Secure Boot DB. Ako ključ postoji i postavljen je na 2, sistem ima certifikat 2023 u DB i počinje sa 2023 potpisanim upravljačem pokretanja.
|
Potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Ime vrednosti ključa |
WindowsUEFICA2023Capable |
|
|
Tip podataka |
REG_DWORD |
|
|
Podataka |
0 – ili ključ ne postoji – certifikat "Windows UEFI CA 2023" nije u DB 1 – Certifikat "Windows UEFI CA 2023" se nalazi u DB 2 – Certifikat "Windows UEFI CA 2023" nalazi se u DB,a sistem počinje od upravljača pokretanjem potpisanog 2023. godine. |
|
Ažuriraj medijum koji se može pokrenuti
Kada se na uređaje primene Mitigation 1 i Mitigation 2, možete da ažurirate sve medije koji se mogu pokrenuti u okruženju. Ažuriranje medijuma koji se mogu pokrenuti podrazumeva primenu PCA2023 potpisanog upravljača pokretanja na medije. To uključuje ažuriranje slika za pokretanje mreže (kao što su PxE i HTTP), ISO slika i USB disk jedinice. U suprotnom, uređaji sa primenjenim umanjivanja neće počinjati od medija za pokretanje koji koristi stariji Windows boot manager i 2011 CA.
Alatke i uputstva za ažuriranje svakog tipa medija koji se mogu pokrenuti dostupni su ovde:
|
Tip medija |
Resursa |
|
ISO, USB disk jedinice i tako više |
|
|
PXE server za pokretanje |
Dokumentacija koja će se obezbediti kasnije |
Tokom procesa ažuriranja medija trebalo bi da se uverite da ste testirali medije na uređaju koji ima sva četiri umanjivanja. Poslednja dva umanjivanja će blokirati starije, ranjive upravljače pokretanjem. Dovršavanje ovog procesa je važan deo dovršavanja medija sa trenutnim menadžerima pokretanja.
Napomena Pošto su povratni napadi upravljača pokretanja realnost i očekujemo tekuće ispravke za Upravljača za pokretanje operativnog sistema Windows u vezi sa bezbednosnim problemima, preporučujemo da preduzeća planiraju polu-standardne ispravke medija i da imaju procese na licu mesta kako bi ispravke medija olakšale i manje traje. Naš cilj je da ograničimo broj osvežavanja menadžera za pokretanje medija na najviše dva puta godišnje, ako je to moguće.
Mediji koji se mogu pokrenuti ne uključuju sistemsku disk jedinicu uređaja na kojoj se obično nalazi Windows i počinje automatski. Mediji koji se mogu pokrenuti obično se koriste za pokretanje uređaja koji nema verziju operativnog sistema Windows koja se može pokrenuti i mediji koji se mogu pokrenuti često se koriste za instaliranje operativnog sistema Windows na uređaju.
Postavke bezbednog pokretanja UEFI-a određuju koje upravljače pokretanja treba smatrati pouzdanim pomoću baze podataka za bezbedno pokretanje (baza podataka za potpis) i DBX (baza podataka zabranjenih potpisa). DB sadrži heševe i šifre za pouzdani softver, a DBX skladišta opozvane, ugrožene i nepouzdane heševe i ključeve kako bi se sprečilo pokretanje neovlašćenog ili zlonamernog softvera tokom procesa pokretanja.
Korisno je da razmislite o različitim stanjama u kom se uređaj može nalaziti i o tome u kakvom medijumu se može pokrenuti sa uređajem u svakom od ovih stanja. U svim slučajevima firmver određuje da li treba da ima poverenja u upravljača pokretanja koji mu je predstavljen i, kada pokrene upravljač pokretanja, firmver više ne konsultuje DB i DBX. Mediji koji se mogu pokrenuti mogu da koriste 2011 CA potpisan upravljač pokretanja ili 2023 CA potpisan menadžer pokretanja, ali ne oba. Sledeći odeljak opisuje u kom stanja se uređaj može pronaći i, u nekim slučajevima, u koje medije se može pokrenuti sa uređaja.
Ovi scenariji uređaja mogu da pomognu prilikom pravljenja planova za primenu umanjivanja na svim uređajima.
Novi uređaji
Neki novi uređaji počeli su isporuku sa CA-om iz 2011. i 2023. unapred instaliranim u firmveru uređaja. Nisu se svi proizvođači prebacili da bi imali oba uređaja, a možda i dalje isporučuju uređaje sa unapred instaliranim sistemom 2011 CA.
-
Uređaji sa CA 2011 i 2023 mogu da pokrenu medije koji obuhvataju 2011 CA potpisani upravljač pokretanja ili 2023 CA potpisani menadžer za pokretanje.
-
Uređaji sa instaliranim samo 2011 CA mogu da ponišu medije samo sa 2011 CA potpisanim upravljačem pokretanja. Većina starijih medija obuhvata upravljanje sistemom za pokretanje iz 2011. godine.
Uređaji sa umanjivanjem 1 i 2
Ovi uređaji su unapred instalirani sa sistemom CA 2011 i primenom mitigation 1 sada imaju instaliran CA 2023. Pošto ovi uređaji imaju poverenja u oba CA-ja, ovi uređaji mogu da pokrenu i medije pomoću 2011 CA i 2023 potpisanog upravljača pokretanja.
Uređaji sa umanjivanjem 3 i 4
Ovi uređaji imaju 2011 CA uključen u DBX i više neće imati poverenja u medije sa menadžerom za pokretanje potpisanim pokretanjem verzije 2011. Uređaj sa ovom konfiguracijom će pokrenuti medije samo sa 2023 CA potpisanim upravljačem pokretanja.
Uspostavljanje početnih vrednosti bezbednog pokretanja
Ako su postavke bezbednog pokretanja postavljene na podrazumevane vrednosti, sva ublažavanja koja su primenjena na DB (dodavanje 2023 CA) i DBX (nepouzdani CA 2011 CA) možda više neće biti na mestu. Ponašanje će zavisiti od toga koje su podrazumevane vrednosti firmvera.
DBX
Ako su ublaženja 3 i/ili 4 primenjena i DBX je obrisan, onda 2011 CA neće biti na DBX listi i i dalje će biti pouzdan. Ako se to desi, biće potrebno ponovno primenjivanje umanjivanja 3 i/ili 4.
DB
Ako je DB sadržala 2023 CA i ona se uklanja uspostavljanjem podrazumevanih postavki bezbednog pokretanja, sistem se možda neće pokrenuti ako se uređaj oslanja na 2023 CA potpisanog upravljača pokretanja. Ako se uređaj ne pokrene, koristite securebootrecovery.efi alatku opisanu u KB5025885: Kako da upravljate opozivama upravljača windows pokretanjem za promene bezbednog pokretanja povezane sa funkcijaMA CVE-2023-24932 da biste oporavili sistem.
Nepouzdano PCA2011 i primeni broj bezbedne verzije na DBX
-
Umanjivanje 3: Omogućavanje opo pozivanja Ne daje pouzdan certifikat Microsoft Windows Production PCA 2011 tako što ga dodaje u firmveres Secure Boot DBX. To će dovesti do toga da firmver ne bude pouzdan svim 2011 CA potpisanim upravljačima pokretanja i svim medijima koji se oslanjaju na MENADŽERa za pokretanje potpisanog 2011. godine.
-
Umanjivanje 4: primena ispravke " Broj bezbedne verzije " na firmver Primenjuje ispravku za broj bezbedne verzije (SVN) na firmveres Secure Boot DBX. Kada počne pokretanje upravljača pokretanjem 2023. godine, on izvršava samoproveru upoređivanje SVN-a uskladištenog u firmveru sa SVN-om ugrađenim u upravljač pokretanja. Ako je SVN menadžera pokretanja manji od SVN-a firmvera, menadžer pokretanja se neće pokrenuti. Ova funkcija sprečava napadača da vrati upravljač pokretanja na stariju verziju koja nije ažurirana. Za buduće bezbednosne ispravke za upravljača pokretanja, SVN će se povećati, a Umanjivanje 4 će morati ponovo da se primeni.
Vaћno Umanjivanje 1 i Umanjivanje 2 mora biti dovršeno pre primene Umanjivanja 3 i Umanjivanja 4.
Informacije o tome kako da primenite Umanjivanje 3 i Umanjivanje 4 u dva odvojena koraka (ako želite da budete oprezniji, bar u početku) pogledajte KB5025885: Kako da upravljate opozivama Windows upravljača pokretanjem za promene bezbednog pokretanja povezane sa sistemom CVE-2023-24932 Ili možete da primenite oba umanjivanja tako što ćete pokrenuti sledeću operaciju pojedinačnog ključa registratora kao administrator:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Primena oba umanjivanja zajedno će zahtevati samo jedno ponovno pokretanje da biste dovršili operaciju.
-
Umanjivanje 3: Možete da potvrdite da je lista opoziva uspešno primenjena tražejući ID događaja: 1037 u evidenciji događaja, po KB5016061: Događaji bezbednog pokretanja baze podataka i događaja promenljivih DBX promenljivih.Druga mogućnost je da pokrenete sledeću PowerShell komandu kao administrator i da se uverite da ona vraća vrednost Tačno:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Umanjivanje 4: Metod koji potvrđuje da je SVN postavka primenjena još ne postoji. Ovaj odeljak će se ažurirati kada rešenje bude dostupno.
