Ursprungligt publiceringsdatum: den 13 februari 2025
KB-ID: 5053946
Inledning
I det här dokumentet beskrivs distributionen av skyddet mot den offentligt offentliggjorda säkerhetsfunktionen för säker start som använder BlackLotus UEFI bootkit som spåras av CVE-2023-24932 för företagsmiljöer.
För att undvika störningar planerar Microsoft inte att distribuera dessa lösningar på företag, men ger den här vägledningen för att hjälpa företag att själva tillämpa lösningarna. Det ger företagen kontroll över distributionsplanen och tidpunkten för distributionen.
Komma igång
Vi har delat upp distributionen i flera steg som kan uppnås på en tidslinje som fungerar för din organisation. Du bör bekanta dig med de här stegen. När du har god förståelse för stegen bör du tänka på hur de fungerar i din miljö och förbereda distributionsplaner som fungerar för ditt företag på tidslinjen.
Om du vill lägga till det nya Windows UEFI CA 2023-certifikatet och inte tilldela Microsoft Windows Production PCA 2011-certifikatet krävs samarbete från enhetens inbyggda programvara. Eftersom det finns en stor kombination av maskinvara och inbyggd programvara på enheten, och Microsoft inte kan testa alla kombinationer, rekommenderar vi att du testar representativa enheter i din miljö innan du distribuerar brett. Vi rekommenderar att du testar minst en enhet av varje typ som används i organisationen. Några kända enhetsproblem som blockerar dessa lösningar dokumenteras som en del av KB5025885: Så här hanterar du återkallning av Windows-starthanteraren för ändringar i Säker start som är associerade med CVE-2023-24932. Om du upptäcker ett problem med inbyggd programvara som inte visas i avsnittet Kända problem kan du kontakta OEM-leverantören för att åtgärda problemet.
Eftersom det här dokumentet refererar till flera olika certifikat visas de i följande tabell för enkel referens och tydlighet:
|
Gamla fullmakter från 2011 |
Nya fullmakter för 2023 (går ut 2038) |
Funktion |
|
Microsoft Corporation KEK CA 2011 (går ut i juli 2026) |
Microsoft Corporation KEK CA 2023 |
Signerar DB- och DBX-uppdateringar |
|
Microsoft Windows Production PCA 2011 (PCA2011) (går ut i oktober 2026) |
Windows UEFI CA 2023 (PCA2023) |
Signerar Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (upphör att gälla i juli 2026) |
Microsoft UEFI CA 2023 och Microsoft Option ROM UEFI CA 2023 |
Signerar startladdare från tredje part och alternativ-ROM-skivor |
Viktigt! Se till att tillämpa de senaste säkerhetsuppdateringarna på testdatorerna innan du testar enheter med lösningarna.
Obs! Under testningen av enhetens inbyggda programvara kan du upptäcka problem som hindrar uppdateringar för säker start från att fungera korrekt. Det kan kräva att den inbyggda programvaran hämtas från tillverkaren (OEM) och att den inbyggda programvaran uppdateras på berörda enheter för att undvika problem som du upptäcker.
Det finns fyra lösningar som måste tillämpas för att skydda mot de attacker som beskrivs i CVE-2023-24932:
-
Åtgärd 1: Installera den uppdaterade certifikatdefinitionen (PCA2023) i DB
-
Åtgärd 2:Uppdatera starthanteraren på enheten
-
Åtgärd 3:Aktivera återkallelsen (PCA2011)
-
Åtgärd 4:Tillämpa SVN-uppdateringen på den inbyggda programvaran
De här fyra lösningarna kan tillämpas manuellt på var och en av testenheterna enligt anvisningarna i riktlinjer för begränsningsdistribution i KB5025885: Så här hanterar du återkallning av Windows-starthanteraren för säker start-ändringar som är associerade med CVE-2023-24932, eller genom att följa anvisningarna i det här dokumentet. Alla fyra lösningarna är beroende av den inbyggda programvaran för att fungera korrekt.
Att förstå följande risker hjälper dig under planeringsprocessen.
Problem med inbyggd programvara:Varje enhet har inbyggd programvara som tillhandahålls av enhetens tillverkare. För distributionsåtgärderna som beskrivs i det här dokumentet måste den inbyggda programvaran kunna acceptera och bearbeta uppdateringar av Secure Boot DB (Signature Database) och DBX (Forbidden Signature Database). Dessutom ansvarar den inbyggda programvaran för valideringen av signatur- eller startprogrammen, inklusive Windows-starthanteraren. Enhetens inbyggda programvara är programvara och kan, liksom alla program, ha fel, vilket är anledningen till att det är viktigt att testa dessa åtgärder innan du distribuerar brett.Microsoft har pågående tester av många kombinationer av enheter/inbyggd programvara, med början från enheterna i Microsofts laboratorier och kontor, och Microsoft arbetar med OEM-tillverkare för att testa sina enheter. Nästan alla testade enheter har klarat sig utan problem. I några fall har vi sett problem med att den inbyggda programvaran inte hanterar uppdateringarna korrekt och vi arbetar med OEM-tillverkare för att åtgärda de problem som vi är medvetna om.
Obs! Om du upptäcker ett problem med den inbyggda programvaran under enhetstestningen rekommenderar vi att du samarbetar med enhetstillverkaren/OEM-tillverkaren för att lösa problemet. Leta efter Händelse-ID 1795 i händelseloggen. Mer information om säker start-händelser finns i KB5016061: Secure Boot DB- och DBX-uppdateringshändelser .
Installera media:Genom att tillämpa Mitigation 3 och Mitigation 4 som beskrivs senare i det här dokumentet kan befintliga Windows-installationsmedia inte längre startas förrän media har en uppdaterad starthanterare. De åtgärder som beskrivs i det här dokumentet hindrar gamla sårbara starthanterare från att köras genom att de inte är betrodda i den inbyggda programvaran. Detta hindrar en angripare från att återställa systemstarthanteraren till en tidigare version och utnyttja sårbarheter som finns i äldre versioner. Blockering av dessa sårbara starthanterare bör inte påverka det system som körs. Det förhindrar dock att startbara media startar förrän starthanterare på mediet har uppdaterats. Detta omfattar ISO-avbildningar, startbara USB-enheter och nätverksstart (PxE- och HTTP-start).
Uppdatera till PCA2023 och den nya starthanteraren
-
Åtgärd 1: Installera de uppdaterade certifikatdefinitionerna i DB Lägger till det nya Windows UEFI CA 2023-certifikatet i UEFI Secure Boot Signature Database (DB). Genom att lägga till certifikatet i DB litar enhetens inbyggda programvara på Microsoft Windows-startprogram som signerats av certifikatet.
-
Åtgärd 2: Uppdatera starthanteraren på enheten Tillämpar den nya Windows-starthanteraren som är signerad med det nya Windows UEFI CA 2023-certifikatet.
De här lösningarna är viktiga för att Windows ska kunna underhållas på lång sikt på dessa enheter. Eftersom Microsoft Windows Production PCA 2011-certifikatet i den inbyggda programvaran upphör att gälla i oktober 2026 måste enheterna ha det nya Windows UEFI CA 2023-certifikatet i den inbyggda programvaran innan den går ut, annars kan enheten inte längre ta emot Windows-uppdateringar, vilket medför ett sårbart säkerhetstillstånd.
Information om hur du tillämpar Mitigation 1 och Mitigation 2 i två separata steg (om du vill vara mer försiktig, åtminstone först) finns i KB5025885: Så här hanterar du återkallning av Windows-starthanteraren för säker start-ändringar som är associerade med CVE-2023-24932. Eller så kan du tillämpa båda lösningarna genom att köra följande åtgärd med en enda registernyckel som administratör:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
När lösningarna gäller rensas bitarna i nyckeln AvailableUpdates . När du har ställt in det på 0x140 och omstart ändras värdet till 0x100 och sedan ändras det till 0x000 efter en ny omstart.
Problemet med starthanteraren tillämpas inte förrän den inbyggda programvaran anger att 2023-certifikatreduceringen har tillämpats. Dessa åtgärder kan inte utföras i ordning.
När båda lösningarna tillämpas anges en registernyckel för att ange att systemet är "2023-kompatibelt", vilket innebär att media kan uppdateras och Mitigation 3 och Mitigation 4 kan tillämpas.
För att du ska kunna slutföra Mitigation 1 och Mitigation 2 krävs i de flesta fall minst två omstarter innan lösningarna tillämpas fullt ut. Genom att lägga till ytterligare omstarter i miljön kan du säkerställa att lösningarna tillämpas tidigare. Det kan dock inte vara praktiskt att artificiellt injicera ytterligare omstarter och kan vara meningsfullt att förlita sig på de månatliga omstarter som sker som en del av att tillämpa säkerhetsuppdateringarna. Att göra det innebär mindre störningar i din miljö men riskerar att ta längre tid att bli säker.
När du har distribuerat Mitigation 1 och Mitigation 2 till dina enheter bör du övervaka dina enheter för att säkerställa att de har de åtgärder som tillämpas och nu är "2023-kompatibla". Övervakning kan utföras genom att söka efter följande registernyckel i systemet. Om nyckeln finns och är inställd på 1 har systemet lagt till 2023-certifikatet i variabeln Säker start DB. Om nyckeln finns och är inställd på 2 har systemet 2023-certifikatet i DB och börjar med den 2023-signerade starthanteraren.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Namn på nyckelvärde |
WindowsUEFICA2023Capable |
|
|
Datatyp |
REG_DWORD |
|
|
Data |
0 – eller nyckeln finns inte – certifikatet "Windows UEFI CA 2023" finns inte i DB 1 – Certifikatet "Windows UEFI CA 2023" finns i DB 2 – Certifikatet "Windows UEFI CA 2023" finns i DB och systemet startar från den 2023-signerade starthanteraren. |
|
Uppdatera startbara media
När Mitigation 1 och Mitigation 2 har tillämpats på dina enheter kan du uppdatera alla startbara medier som du använder i din miljö. När det startbara mediet uppdateras tillämpas den PCA2023 signerade starthanteraren på mediet. Detta omfattar uppdatering av nätverksstartavbildningar (till exempel PxE och HTTP), ISO-avbildningar och USB-enheter. Annars startar inte enheter med de åtgärder som tillämpas från startmedia som använder den äldre Windows-starthanteraren och 2011 CA.
Verktyg och vägledning om hur du uppdaterar varje typ av startbara media finns här:
|
Medietyp |
Resurs |
|
ISO, USB-enheter och så vidare |
KB5053484: Uppdatera startbara media i Windows så att den PCA2023 signerade starthanteraren används |
|
PXE-startserver |
Dokumentation som ska tillhandahållas senare |
Under medieuppdateringsprocessen bör du se till att testa media med en enhet som har alla fyra lösningar på plats. De två sista lösningarna blockerar äldre, sårbara starthanterare. Att ha media med nuvarande starthanterare på plats är en viktig del i processen.
Obs! Eftersom roll-back-attacker för starthanteraren är en realitet och vi förväntar oss att ständiga uppdateringar av Windows-starthanteraren kommer att åtgärda säkerhetsproblem, rekommenderar vi att företag planerar för halvregelbundna medieuppdateringar och har processer för att göra medieuppdateringar enkla och mindre tidskrävande. Vårt mål är att begränsa antalet uppdateringar för mediestarthanteraren till högst två gånger per år, om möjligt.
Startbara medier omfattar inte enhetens systemenhet där Windows vanligtvis finns och startar automatiskt. Startbara medier används ofta för att starta en enhet som inte har en startbar version av Windows och startbara medier används ofta för att installera Windows på enheten.
Inställningarna för säker start av UEFI avgör vilka starthanterare som ska lita på med hjälp av Secure Boot DB (Signature Database) och DBX (Forbidden Signature Database). DB innehåller hash-värden och nycklar för betrodd programvara, och DBX-butikerna återkallade, komprometterade och icke-betrodda hash-värden och nycklar för att förhindra att obehöriga eller skadliga program körs under startprocessen.
Det är användbart att tänka på de olika tillstånd som en enhet kan vara i och vilka startbara medier kan användas med enheten i var och en av dessa tillstånd. I alla fall avgör den inbyggda programvaran om den ska lita på starthanteraren som den presenteras med och, när starthanteraren körs, konsulteras DB och DBX inte längre av den inbyggda programvaran. Startbara medier kan antingen använda en 2011 CA signerad starthanterare eller en 2023 CA signerad starthanterare men inte båda. I nästa avsnitt beskrivs vilka tillstånd enheten kan ha och i vissa fall vilka media som kan startas från enheten.
Dessa enhetsscenarier kan vara till hjälp när du planerar att distribuera lösningarna på dina enheter.
Nya enheter
Vissa nya enheter började levereras med både 2011- och 2023-CAs förinstallerade i enhetens inbyggda programvara. Alla tillverkare har inte växlat över för att ha båda och kan fortfarande leverera enheter med endast 2011 CA förinstallerat.
-
Enheter med både 2011- och 2023-certifikatet kan starta media som innehåller antingen 2011 CA signerad starthanterare eller 2023 CA signerad starthanterare.
-
Enheter med endast 2011 CA installerat kan bara starta media med 2011 CA signerad starthanterare. De flesta äldre media inkluderar 2011 CA signerad startmanger.
Enheter med Mitigations 1 och 2
Dessa enheter var förinstallerade med 2011 CA och har nu 2023 CA installerat genom att tillämpa Mitigation 1. Eftersom dessa enheter litar på båda certifikaten kan dessa enheter starta både media med 2011 CA och den signerade starthanteraren för 2023.
Enheter med Mitigations 3 och 4
Dessa enheter har 2011 CA ingår i DBX och kommer inte längre att lita på media med en 2011 CA signerad starthanterare. En enhet med den här konfigurationen startar bara media med en signerad 2023 CA-starthanterare.
Återställning av säker start
Om inställningarna för säker start har återställts till standardvärdena kanske inga åtgärder som har tillämpats på DB (som lägger till 2023 CA) och DBX (som inte är betrodda 2011 CA) finns kvar. Beteendet beror på vilka standardinställningar för den inbyggda programvaran är.
DBX
Om Mitigations 3 och/eller 4 har tillämpats och DBX rensas kommer 2011 CA inte att finnas med i DBX-listan och kommer fortfarande att vara betrodd. Om detta inträffar är det nödvändigt att återanvända åtgärder 3 och/eller 4.
DB
Om DB innehöll 2023 CA och det tas bort genom att återställa inställningarna för säker start till standardinställningarna, kanske systemet inte startar om enheten förlitar sig på den 2023 CA-signerade starthanteraren. Om enheten inte startar använder du verktyget securebootrecovery.efi som beskrivs i KB5025885: Så här hanterar du återkallning av Windows-starthanteraren för säker start-ändringar som är associerade med CVE-2023-24932 för att återställa systemet.
Icke-betrodda PCA2011 och tillämpa Secure Version Number på DBX
-
Åtgärd 3: Aktivera återkallelsen Inte litar på Microsoft Windows Production PCA 2011-certifikatet genom att lägga till det i den inbyggda programvaran Secure Boot DBX. Detta gör att den inbyggda programvaran inte litar på alla 2011 CA-signerade starthanterare och alla media som förlitar sig på 2011 CA signerad starthanterare.
-
Åtgärd 4: Tillämpa uppdateringen av säkerhetsversionsnumret på den inbyggda programvaran Tillämpar SVN-uppdateringen (Secure Version Number) på den inbyggda programvaran Secure Boot DBX. När en 2023-signerad starthanterare börjar köras utför den en självkontroll genom att jämföra SVN som lagras i den inbyggda programvaran med SVN inbyggt i starthanteraren. Om starthanteraren SVN är lägre än SVN för den inbyggda programvaran körs inte starthanteraren. Den här funktionen förhindrar att en angripare återställer starthanteraren till en äldre version som inte är uppdaterad. För framtida säkerhetsuppdateringar för starthanteraren ökas SVN och Åtgärd 4 måste tillämpas på nytt.
Viktigt! Mitigation 1 och Mitigation 2 måste slutföras innan du tillämpar Mitigation 3 och Mitigation 4.
Information om hur du tillämpar Mitigation 3 och Mitigation 4 i två separata steg (om du vill vara mer försiktig, åtminstone till en början) finns i KB5025885: Så här hanterar du återkallning av Windows-starthanteraren för säker start-ändringar som är associerade med CVE-2023-24932 Eller så kan du tillämpa båda lösningarna genom att köra följande åtgärd för en enda registernyckel som administratör:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Om du använder båda lösningarna tillsammans krävs bara en omstart för att slutföra åtgärden.
-
Åtgärd 3: Du kan kontrollera att återkallningslistan har tillämpats genom att leta efter händelse-ID: 1037 i händelseloggen, per KB5016061: Secure Boot DB- och DBX-uppdateringshändelser.Du kan också köra följande PowerShell-kommando som administratör och kontrollera att det returnerar True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Åtgärd 4: En metod för att bekräfta att SVN-inställningen har tillämpats finns ännu inte. Det här avsnittet uppdateras när en lösning är tillgänglig.
Referenser
KB5016061: Secure Boot DB- och DBX-uppdateringshändelser
KB5053484: Uppdatera startbara media i Windows så att den PCA2023 signerade starthanteraren används
