วันที่เผยแพร่ต้นฉบับ: วันที่ 13 กุมภาพันธ์ 2568
KB ID: 5053946
บทนำ
เอกสารนี้อธิบายการปรับใช้การป้องกันฟีเจอร์ความปลอดภัยการบูตแบบเปิดเผยต่อสาธารณะที่ใช้ Bootkit ของ BlackLotus UEFI ที่ติดตามโดย CVE-2023-24932 สําหรับสภาพแวดล้อมขององค์กร
เพื่อหลีกเลี่ยงการหยุดชะงัก Microsoft ไม่ได้วางแผนที่จะปรับใช้การแก้ไขเหล่านี้ในองค์กร แต่จะให้คําแนะนํานี้เพื่อช่วยให้องค์กรต่างๆ สามารถนําการแก้ไขด้วยตนเองไปใช้ได้ ซึ่งจะช่วยให้องค์กรสามารถควบคุมแผนการปรับใช้และระยะเวลาของการปรับใช้ได้
การเริ่มต้นใช้งาน
เราได้แบ่งการปรับใช้ออกเป็นหลายขั้นตอนซึ่งสามารถทําได้บนไทม์ไลน์ที่เหมาะสมกับองค์กรของคุณ คุณควรทําความคุ้นเคยกับขั้นตอนเหล่านี้ เมื่อคุณมีความเข้าใจที่ดีเกี่ยวกับขั้นตอนต่างๆ แล้ว คุณควรพิจารณาว่าขั้นตอนเหล่านั้นจะทํางานอย่างไรในสภาพแวดล้อมของคุณและเตรียมแผนการปรับใช้ที่เหมาะสมกับองค์กรของคุณบนไทม์ไลน์ของคุณ
การเพิ่มใบรับรอง Windows UEFI CA 2023 ใหม่และไม่น่าเชื่อถือใบรับรอง Microsoft Windows Production PCA 2011 ต้องได้รับความร่วมมือจากเฟิร์มแวร์ของอุปกรณ์ เนื่องจากมีการผสมผสานฮาร์ดแวร์และเฟิร์มแวร์ของอุปกรณ์จํานวนมาก และ Microsoft ไม่สามารถทดสอบชุดค่าผสมทั้งหมดได้ เราขอแนะนําให้คุณทดสอบอุปกรณ์ที่เป็นตัวแทนในสภาพแวดล้อมของคุณก่อนที่จะปรับใช้อย่างกว้างขวาง เราขอแนะนําให้คุณทดสอบอุปกรณ์แต่ละชนิดที่ใช้ในองค์กรของคุณอย่างน้อยหนึ่งเครื่อง ปัญหาที่ทราบเกี่ยวกับอุปกรณ์บางอย่างที่จะบล็อกการแก้ไขเหล่านี้ถูกบันทึกไว้เป็นส่วนหนึ่งของ KB5025885: วิธีการจัดการการเพิกถอนตัวจัดการการบูตแบบ Windows สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932 หากคุณตรวจพบปัญหาเฟิร์มแวร์ของอุปกรณ์ที่ไม่อยู่ในรายการในส่วน ปัญหาที่ทราบ แล้ว ให้ทํางานร่วมกับผู้ขาย OEM ของคุณเพื่อแก้ไขปัญหา
เนื่องจากเอกสารนี้อ้างอิงใบรับรองที่แตกต่างกันหลายใบ จึงแสดงอยู่ในตารางต่อไปนี้เพื่อให้อ้างอิงได้ง่ายและชัดเจน
|
Old 2011 CAs |
CAs ใหม่ 2023 (หมดอายุใน 2038) |
ฟังก์ชัน |
|
Microsoft Corporation KEK CA 2011 (หมดอายุในเดือนกรกฎาคม 2026) |
Microsoft Corporation KEK CA 2023 |
ลงชื่อในการอัปเดต DB และ DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (หมดอายุในเดือนตุลาคม 2026) |
Windows UEFI CA 2023 (PCA2023) |
ลงชื่อใน Windows bootloader |
|
Microsoft Corporation UEFI CA 2011 (หมดอายุในเดือนกรกฎาคม 2026) |
Microsoft UEFI CA 2023 และ Microsoft Option ROM UEFI CA 2023 |
เซ็นชื่อใน bootloaders ของบริษัทอื่นและตัวเลือกรอม |
สำคัญ ตรวจสอบให้แน่ใจว่าได้ใช้การอัปเดตความปลอดภัยล่าสุดกับเครื่องทดสอบก่อนที่จะทดสอบอุปกรณ์ที่มีการบรรเทา
หมายเหตุ ระหว่างการทดสอบเฟิร์มแวร์อุปกรณ์ของคุณ คุณอาจพบปัญหาที่ป้องกันไม่ให้การอัปเดตการบูตแบบปลอดภัยทํางานได้อย่างถูกต้อง ซึ่งอาจจําเป็นต้องได้รับเฟิร์มแวร์ที่อัปเดตจากผู้ผลิต (OEM) และอัปเดตเฟิร์มแวร์บนอุปกรณ์ที่ได้รับผลกระทบเพื่อลดปัญหาที่คุณพบ
มีการแก้ไขสี่ประการที่ต้องนําไปใช้เพื่อป้องกันการโจมตีที่อธิบายไว้ใน CVE-2023-24932:
-
การลดปัญหา 1: ติดตั้งข้อกําหนดใบรับรอง (PCA2023) ที่ปรับปรุงแล้วลงใน DB
-
การลดปัญหา 2:อัปเดตตัวจัดการการเริ่มต้นระบบบนอุปกรณ์ของคุณ
-
การลดปัญหา 3:เปิดใช้งานการเพิกถอน (PCA2011)
-
การลดปัญหา 4:ใช้การอัปเดต SVN กับเฟิร์มแวร์
การแก้ไขทั้งสี่นี้สามารถนําไปใช้กับอุปกรณ์ทดสอบแต่ละเครื่องด้วยตนเองได้ตามคําแนะนําที่อธิบายไว้ใน แนวทางการปรับใช้การลดปัญหา ของ KB5025885: วิธีการจัดการการเพิกถอนตัวจัดการการบูตของ Windows สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932 หรือโดยทําตามคําแนะนําในเอกสารนี้ การบรรเทาทั้งสี่ข้อพึ่งพาเฟิร์มแวร์เพื่อให้ทํางานได้อย่างถูกต้อง
การทําความเข้าใจเกี่ยวกับความเสี่ยงต่อไปนี้จะช่วยคุณในระหว่างกระบวนการวางแผนของคุณ
ปัญหาเฟิร์มแวร์:อุปกรณ์แต่ละเครื่องมีเฟิร์มแวร์ที่ผู้ผลิตอุปกรณ์จัดหาให้ สําหรับการดําเนินการปรับใช้ที่อธิบายไว้ในเอกสารนี้ เฟิร์มแวร์ต้องสามารถยอมรับและประมวลผลการอัปเดตสําหรับ Secure Boot DB (ฐานข้อมูลลายเซ็น) และ DBX (ฐานข้อมูลลายเซ็นต้องห้าม) นอกจากนี้ เฟิร์มแวร์มีหน้าที่ในการตรวจสอบความถูกต้องของแอปพลิเคชันลายเซ็นหรือการเริ่มต้นระบบ รวมถึงตัวจัดการการเริ่มต้นระบบ Windows เฟิร์มแวร์ของอุปกรณ์เป็นซอฟต์แวร์และเช่นเดียวกับซอฟต์แวร์ใด ๆ ที่อาจมีข้อบกพร่องซึ่งเป็นสาเหตุสําคัญที่จะต้องทดสอบการทํางานเหล่านี้ก่อนที่จะปรับใช้อย่างกว้างขวางMicrosoft ได้ทําการทดสอบชุดอุปกรณ์/เฟิร์มแวร์ต่างๆ อย่างต่อเนื่อง โดยเริ่มจากอุปกรณ์ภายในห้องแล็บและสํานักงานของ Microsoft และ Microsoft กําลังทํางานร่วมกับ OEM เพื่อทดสอบอุปกรณ์ของตน อุปกรณ์เกือบทั้งหมดที่ทดสอบผ่านไปแล้วโดยไม่มีปัญหา ในบางกรณี เราได้พบปัญหาเกี่ยวกับเฟิร์มแวร์ที่ไม่สามารถจัดการการอัปเดตได้อย่างถูกต้อง และเรากําลังทํางานร่วมกับ OEM เพื่อแก้ไขปัญหาที่เราทราบ
หมายเหตุ ในระหว่างการทดสอบอุปกรณ์ของคุณ หากคุณตรวจพบปัญหาเฟิร์มแวร์ เราขอแนะนําให้ทํางานร่วมกับผู้ผลิตอุปกรณ์ของคุณ/OEM เพื่อแก้ไขปัญหา ค้นหา รหัสเหตุการณ์ 1795 ในบันทึกเหตุการณ์ ดู KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์ Secure Boot
ติดตั้งสื่อ:เมื่อใช้ Mitigation 3 และ Mitigation 4 ที่อธิบายไว้ในเอกสารนี้ในภายหลัง สื่อการติดตั้ง Windows ที่มีอยู่จะไม่สามารถเริ่มต้นระบบได้อีกต่อไปจนกว่าสื่อจะมีตัวจัดการการเริ่มต้นระบบที่ได้รับการอัปเดต การบรรเทาที่อธิบายไว้ในเอกสารนี้ป้องกันผู้จัดการการเริ่มต้นระบบเก่าที่มีความเสี่ยงจากการเรียกใช้โดยการไม่น่าเชื่อถือในเฟิร์มแวร์ ซึ่งจะป้องกันไม่ให้ผู้โจมตีย้อนกลับตัวจัดการการบูตระบบเป็นเวอร์ชันก่อนหน้าและใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในเวอร์ชันที่เก่ากว่า การบล็อกผู้จัดการการบูตที่มีช่องโหว่เหล่านี้ไม่ควรส่งผลกระทบต่อระบบที่กําลังทํางานอยู่ แต่จะป้องกันไม่ให้สื่อที่สามารถเริ่มต้นระบบได้เริ่มทํางานจนกว่าผู้จัดการการเริ่มต้นระบบบนสื่อจะได้รับการอัปเดต ซึ่งรวมถึงอิมเมจ ISO, ไดรฟ์ USB ที่สามารถบูตได้ และการบูตเครือข่าย (PxE และการบูต HTTP)
อัปเดตเป็น PCA2023 และตัวจัดการการบูตใหม่
-
การลดปัญหา 1: ติดตั้งข้อกําหนดใบรับรองที่ปรับปรุงแล้วลงใน DB เพิ่มใบรับรอง Windows UEFI CA 2023 ใหม่ลงในฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย UEFI (DB) ด้วยการเพิ่มใบรับรองนี้ลงใน DB เฟิร์มแวร์ของอุปกรณ์จะเชื่อถือแอปพลิเคชันการเริ่มต้นระบบของ Microsoft Windows ที่เซ็นชื่อโดยใบรับรองนี้
-
การลดปัญหา 2: อัปเดตตัวจัดการการบูตบนอุปกรณ์ ของคุณ นําตัวจัดการการเริ่มต้นระบบ Windows ใหม่ที่ลงชื่อด้วยใบรับรอง Windows UEFI CA 2023 ใหม่ไปใช้
การบรรเทาเหล่านี้มีความสําคัญต่อความสามารถในการให้บริการในระยะยาวของ Windows บนอุปกรณ์เหล่านี้ เนื่องจากใบรับรอง Microsoft Windows Production PCA 2011 ในเฟิร์มแวร์จะหมดอายุในเดือนตุลาคม 2026 อุปกรณ์ต้องมีใบรับรอง Windows UEFI CA 2023 ใหม่ในเฟิร์มแวร์ก่อนหมดอายุ หรืออุปกรณ์จะไม่สามารถรับการอัปเดต Windows ได้อีกต่อไป ทําให้อยู่ในสถานะความปลอดภัยที่มีความเสี่ยง
สําหรับข้อมูลเกี่ยวกับวิธีการใช้ Mitigation 1 และ Mitigation 2 ในสองขั้นตอนแยกกัน (ถ้าคุณต้องการระมัดระวังมากขึ้น อย่างน้อยที่สุดก่อน) โปรดดู KB5025885: วิธีจัดการการเพิกถอนตัวจัดการการบูตแบบ Windows สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932 หรือคุณสามารถใช้การลดทั้งสองโดยการเรียกใช้การดําเนินการรีจิสทรีคีย์เดียวต่อไปนี้ในฐานะผู้ดูแลระบบ:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
เมื่อการปรับใช้บิตในคีย์ AvailableUpdates จะถูกล้าง หลังจากการตั้งค่าเป็น 0x140 และเริ่มระบบใหม่ ค่าจะเปลี่ยนเป็น 0x100 จากนั้นหลังจากเริ่มระบบใหม่อีกครั้ง จะเปลี่ยนเป็น 0x000
การลดตัวจัดการการบูตจะไม่ถูกนํามาใช้จนกว่าเฟิร์มแวร์จะระบุว่าการบรรเทาใบรับรอง 2023 ถูกนําไปใช้เรียบร้อยแล้ว การดําเนินการเหล่านี้ไม่สามารถดําเนินการไม่เป็นลําดับได้
เมื่อมีการใช้การลดปัญหาทั้งสองรายการ รีจิสทรีคีย์จะถูกตั้งค่าเพื่อระบุว่าระบบดังกล่าวเป็น "สามารถใช้งาน 2023 ได้" ซึ่งหมายความว่าสื่อสามารถอัปเดตและบรรเทาปัญหา 3 และ Mitigation 4 ได้
ในกรณีส่วนใหญ่ การลดปัญหา 1 และการลดปัญหา 2 ให้เสร็จสิ้นจะต้องเริ่มระบบใหม่ อย่างน้อยสองครั้ง ก่อนจึงจะดําเนินการบรรเทาได้อย่างสมบูรณ์ การเพิ่มการเริ่มระบบใหม่เพิ่มเติมในสภาพแวดล้อมของคุณจะช่วยให้แน่ใจได้ว่าจะมีการใช้การบรรเทาเร็วขึ้น อย่างไรก็ตาม การฉีดการเริ่มระบบใหม่เพิ่มเติมอย่างเทียมอาจไม่เหมาะสมและอาจเหมาะสมที่จะพึ่งพาการรีสตาร์ตรายเดือนที่เกิดขึ้นเนื่องจากเป็นส่วนหนึ่งของการใช้การอัปเดตความปลอดภัย การทําเช่นนั้นหมายถึงการหยุดชะงักน้อยลงในสภาพแวดล้อมของคุณ แต่มีความเสี่ยงที่จะใช้เวลานานขึ้นในการรักษาความปลอดภัย
หลังจากการปรับใช้ Mitigation 1 และ Mitigation 2 กับอุปกรณ์ของคุณ คุณควรตรวจสอบอุปกรณ์ของคุณเพื่อให้แน่ใจว่าอุปกรณ์เหล่านั้นมีการปรับใช้และ "สามารถใช้งาน 2023 ได้" การตรวจสอบสามารถทําได้โดยการค้นหารีจิสทรีคีย์ต่อไปนี้บนระบบ ถ้ามีคีย์อยู่และถูกตั้งค่าเป็น 1 ระบบได้เพิ่มใบรับรอง 2023 ให้กับตัวแปร Secure Boot DB หากคีย์มีอยู่และตั้งค่าเป็น 2 ระบบจะมีใบรับรอง 2023 ใน DB และเริ่มต้นด้วยตัวจัดการการบูตที่ลงชื่อในปี 2023
|
คีย์ย่อยของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
ชื่อค่าคีย์ |
WindowsUEFICA2023Capable |
|
|
ชนิดข้อมูล |
REG_DWORD |
|
|
ข้อมูล |
0 – หรือคีย์ไม่มีอยู่ - ใบรับรอง "Windows UEFI CA 2023" ไม่อยู่ใน DB 1 - ใบรับรอง "Windows UEFI CA 2023" อยู่ใน DB 2 - ใบรับรอง "Windows UEFI CA 2023" อยู่ใน DB และระบบกําลังเริ่มต้นจากตัวจัดการการบูตที่เซ็นชื่อในปี 2023 |
|
อัปเดตสื่อที่สามารถเริ่มต้นระบบได้
หลังจาก Mitigation 1 และ Mitigation 2 ถูกนําไปใช้กับอุปกรณ์ของคุณ คุณสามารถอัปเดตสื่อที่สามารถเริ่มต้นระบบได้ใดๆ ที่คุณใช้ในสภาพแวดล้อมของคุณ การอัปเดตสื่อที่เริ่มต้นระบบได้หมายถึงการใช้ตัวจัดการการเริ่มต้นระบบที่ลงชื่อ PCA2023 กับสื่อ ซึ่งรวมถึงการอัปเดตอิมเมจการบูตเครือข่าย (เช่น PxE และ HTTP) อิมเมจ ISO และไดรฟ์ USB มิฉะนั้น อุปกรณ์ที่มีการแก้ไขที่ใช้จะไม่เริ่มต้นจากสื่อการเริ่มต้นระบบที่ใช้ตัวจัดการการเริ่มต้นระบบของ Windows และ 2011 CA รุ่นเก่า
มีเครื่องมือและคําแนะนําเกี่ยวกับวิธีการอัปเดตสื่อที่สามารถเริ่มต้นระบบได้แต่ละชนิดที่นี่:
|
ชนิดของสื่อ |
ทรัพยากร |
|
ไดรฟ์ ISO, ไดรฟ์ USB และอื่นๆ |
|
|
เซิร์ฟเวอร์การบูต PXE |
เอกสารประกอบที่จะให้ในภายหลัง |
ในระหว่างกระบวนการอัปเดตสื่อ คุณควรตรวจสอบให้แน่ใจว่าได้ทดสอบสื่อกับอุปกรณ์ที่มีการแก้ไขทั้งสี่อย่างแล้ว การบรรเทาปัญหาทั้ง 2 ประการสุดท้ายจะบล็อกผู้จัดการการบูตที่มีช่องโหว่และเก่ากว่า การมีสื่อที่มีผู้จัดการการเริ่มต้นระบบปัจจุบันเป็นส่วนสําคัญของการทํากระบวนการนี้ให้เสร็จสมบูรณ์
หมายเหตุ เนื่องจากการโจมตีแบบย้อนกลับของตัวจัดการการเริ่มต้นระบบเป็นเรื่องจริง และเราคาดหวังให้การอัปเดตตัวจัดการการเริ่มต้นระบบ Windows แก้ไขปัญหาด้านความปลอดภัยอย่างต่อเนื่อง เราขอแนะนําให้องค์กรวางแผนสําหรับการอัปเดตสื่อแบบกึ่งปกติและมีกระบวนการเพื่อทําให้การอัปเดตสื่อทําได้ง่ายและใช้เวลาน้อยลง เป้าหมายของเราคือการจํากัดจํานวนตัวจัดการการบูตสื่อรีเฟรชสูงสุดสองครั้งต่อปี หากเป็นไปได้
สื่อที่สามารถเริ่มต้นระบบได้ไม่มีไดรฟ์ระบบของอุปกรณ์ที่โดยทั่วไป Windows อยู่และเริ่มระบบจากโดยอัตโนมัติ สื่อที่สามารถเริ่มต้นระบบได้มักใช้เพื่อเริ่มต้นระบบอุปกรณ์ที่ไม่มี Windows รุ่นที่สามารถเริ่มต้นระบบได้ และมักใช้สื่อที่สามารถเริ่มต้นระบบได้เพื่อติดตั้ง Windows บนอุปกรณ์
การตั้งค่าการบูตแบบปลอดภัย UEFI จะกําหนดผู้จัดการการบูตที่จะเชื่อถือโดยใช้ Secure Boot DB (ฐานข้อมูลลายเซ็น) และ DBX (ฐานข้อมูลลายเซ็นต้องห้าม) DB มีแฮชและคีย์สําหรับซอฟต์แวร์ที่เชื่อถือได้ และร้านค้า DBX ที่ถูกเพิกถอน ถูกบุกรุก และไม่น่าเชื่อถือ และคีย์เพื่อป้องกันไม่ให้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือที่เป็นอันตรายทํางานในระหว่างกระบวนการเริ่มต้นระบบ
มีประโยชน์ในการคิดเกี่ยวกับสถานะต่างๆ ที่อุปกรณ์สามารถอยู่ได้และสื่อที่สามารถเริ่มต้นระบบได้สามารถใช้กับอุปกรณ์ในแต่ละสถานะเหล่านี้ ในทุกกรณีเฟิร์มแวร์จะกําหนดว่าควรเชื่อถือตัวจัดการการบูตที่แสดงอยู่หรือไม่และเมื่อเรียกใช้ตัวจัดการการบูต DB และ DBX จะไม่ได้รับการปรึกษาจากเฟิร์มแวร์อีกต่อไป สื่อที่สามารถเริ่มระบบได้อาจใช้ตัวจัดการการเริ่มต้นระบบที่ได้รับการรับรองของ 2011 CA หรือตัวจัดการการเริ่มต้นระบบที่ได้รับการรับรอง CA ปี 2023 แต่ไม่สามารถใช้ได้ทั้งสองอย่าง ส่วนถัดไปจะอธิบายสถานะที่อุปกรณ์สามารถทําได้ และในบางกรณีสื่อใดที่สามารถเริ่มต้นระบบได้จากอุปกรณ์
สถานการณ์ของอุปกรณ์เหล่านี้อาจช่วยได้เมื่อทําแผนสําหรับการปรับใช้การลดปัญหาบนอุปกรณ์ทั้งหมดของคุณ
อุปกรณ์ใหม่
อุปกรณ์ใหม่บางเครื่องเริ่มจัดส่งทั้งรุ่น 2011 และ 2023 CAs ที่ติดตั้งไว้ล่วงหน้าในเฟิร์มแวร์อุปกรณ์ ผู้ผลิตบางรายไม่ได้สลับไปมาเพื่อให้มีทั้งคู่และอาจยังคงเป็นอุปกรณ์สําหรับการจัดส่งที่มีการติดตั้ง CA ปี 2011 ไว้ล่วงหน้าเท่านั้น
-
อุปกรณ์ที่มีทั้ง 2011 และ 2023 CAs สามารถเริ่มต้นสื่อที่รวมตัวจัดการการเริ่มต้นระบบที่ลงนามด้วย CA 2011 หรือตัวจัดการการเริ่มต้นระบบที่ลงนามโดย CA ปี 2023
-
อุปกรณ์ที่มีการติดตั้งเฉพาะ 2011 CA สามารถเริ่มต้นระบบสื่อที่มี 2011 CA ตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อแล้วเท่านั้น สื่อที่เก่ากว่าส่วนใหญ่จะมีโปรแกรมจัดการการบูตที่ลงนามโดย CA ปี 2011
อุปกรณ์ที่มีการลดปัญหา 1 และ 2
อุปกรณ์เหล่านี้ได้รับการติดตั้งไว้ล่วงหน้ากับ CA 2011 และเมื่อใช้ Mitigation 1 ตอนนี้มีการติดตั้ง 2023 CA แล้ว เนื่องจากอุปกรณ์เหล่านี้เชื่อถือได้ทั้ง CAs อุปกรณ์เหล่านี้สามารถเริ่มต้นทั้งสื่อด้วย CA 2011 และตัวจัดการการบูตที่เซ็นชื่อในปี 2023
อุปกรณ์ที่มีการลดปัญหา 3 และ 4
อุปกรณ์เหล่านี้มี 2011 CA รวมอยู่ใน DBX และจะไม่เชื่อถือสื่อที่มี 2011 CA ที่ลงนามตัวจัดการการบูต อุปกรณ์ที่มีการกําหนดค่านี้จะเริ่มต้นสื่อที่มีตัวจัดการการเริ่มต้นระบบที่ได้รับการรับรองของ CA ปี 2023 เท่านั้น
รีเซ็ตการบูตแบบปลอดภัย
หากการตั้งค่าการบูตแบบปลอดภัยถูกรีเซ็ตเป็นค่าเริ่มต้น การแก้ไขใดๆ ที่ใช้กับ DB (การเพิ่ม 2023 CA) และ DBX (ไม่น่าเชื่อถือจาก 2011 CA) อาจไม่สามารถใช้งานได้อีกต่อไป ลักษณะการทํางานจะขึ้นอยู่กับค่าเริ่มต้นของเฟิร์มแวร์
DBX
หากมีการใช้ Mitigations 3 และ/หรือ 4 และล้าง DBX แล้ว CA 2011 จะไม่อยู่ในรายการ DBX และจะยังคงเชื่อถือได้ หากเกิดกรณีนี้ ขึ้นใหม่ จะต้องนําการแก้ไข 3 และ/หรือ 4 ไปใช้ใหม่
DB
หาก DB มี 2023 CA และถูกลบออกโดยการรีเซ็ตการตั้งค่าการบูตแบบปลอดภัยเป็นค่าเริ่มต้น ระบบอาจไม่บูตหากอุปกรณ์ขึ้นกับตัวจัดการการบูตที่ลงนามด้วย CA ปี 2023 หากอุปกรณ์ไม่บูต ให้ใช้เครื่องมือ securebootrecovery.efi ที่อธิบายไว้ใน KB5025885: วิธีจัดการการเพิกถอนตัวจัดการการบูตของ Windows สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932 เพื่อกู้คืนระบบ
ยกเลิกการ PCA2011 และใช้หมายเลขเวอร์ชันที่ปลอดภัยกับ DBX
-
การลดปัญหา 3: เปิดใช้งานการ เพิกถอน ยกเลิกการเชื่อถือใบรับรอง Microsoft Windows Production PCA 2011 โดยการเพิ่มใบรับรองลงในเฟิร์มแวร์ Secure Boot DBX ซึ่งจะทําให้เฟิร์มแวร์ไม่เชื่อถือตัวจัดการการเริ่มต้นระบบที่เซ็นชื่อใน CA 2011 ทั้งหมด และสื่อใดๆ ที่ใช้ตัวจัดการการเริ่มต้นระบบที่ได้รับการรับรอง 2011 CA
-
Mitigation 4: ใช้ การอัปเดตหมายเลขเวอร์ชันที่ปลอดภัย กับเฟิร์มแวร์ ใช้การอัปเดตหมายเลขเวอร์ชันที่ปลอดภัย (SVN) กับเฟิร์มแวร์ Secure Boot DBX เมื่อตัวจัดการการบูตที่ลงนามในปี 2023 เริ่มทํางาน ตัวจัดการการบูตจะดําเนินการตรวจสอบด้วยตนเองโดยการเปรียบเทียบ SVN ที่เก็บไว้ในเฟิร์มแวร์กับ SVN ที่อยู่ในตัวจัดการการเริ่มต้นระบบ หาก SVN ตัวจัดการการบูตต่ํากว่า SVN ของเฟิร์มแวร์ ตัวจัดการการบูตจะไม่ทํางาน คุณลักษณะนี้ป้องกันไม่ให้ผู้โจมตีย้อนกลับตัวจัดการการเริ่มต้นระบบเป็นเวอร์ชันที่เก่ากว่าที่ไม่ได้อัปเดต สําหรับการอัปเดตด้านความปลอดภัยในอนาคตสําหรับตัวจัดการการบูต SVN จะถูกเพิ่มและ Mitigation 4 จะต้องถูกนํามาใช้ใหม่
สำคัญ การแก้ไข 1 และการแก้ไข 2 จะต้องเสร็จสมบูรณ์ก่อนที่จะใช้ Mitigation 3 และ Mitigation 4.
สําหรับข้อมูลเกี่ยวกับวิธีการใช้ Mitigation 3 และ Mitigation 4 ในสองขั้นตอนแยกกัน (ถ้าคุณต้องการระมัดระวังมากขึ้น อย่างน้อยที่สุดก่อน) ให้ดู KB5025885: วิธีจัดการการเพิกถอนตัวจัดการการบูตของ Windows สําหรับการเปลี่ยนแปลงการบูตแบบปลอดภัยที่เกี่ยวข้องกับ CVE-2023-24932 หรือคุณสามารถใช้การลดปัญหาทั้งสองอย่างโดยการเรียกใช้การดําเนินการรีจิสทรีคีย์เดี่ยวต่อไปนี้ในฐานะผู้ดูแลระบบ:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
การใช้การลดทั้งสองอย่างร่วมกันจะต้องเริ่มระบบใหม่เพียงครั้งเดียวเพื่อให้การดําเนินการเสร็จสมบูรณ์
-
การลดปัญหา 3: คุณสามารถตรวจสอบว่ารายการการยกเลิกถูกนําไปใช้สําเร็จหรือไม่โดยการค้นหารหัสเหตุการณ์: 1037 ในบันทึกเหตุการณ์ ตาม KB5016061: เหตุการณ์การอัปเดตตัวแปร Secure Boot DB และ DBXอีกวิธีหนึ่งคือ คุณสามารถเรียกใช้คําสั่ง PowerShell ต่อไปนี้ในฐานะผู้ดูแลระบบ และตรวจสอบให้แน่ใจว่าคําสั่งส่งกลับเป็น True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
การลดปัญหา 4: วิธีการเพื่อยืนยันว่าการตั้งค่า SVN ไม่ได้ถูกนําไปใช้ยังไม่มีอยู่ ส่วนนี้จะได้รับการปรับปรุงเมื่อโซลูชันพร้อมใช้งาน
แหล่งอ้างอิง
KB5016061: เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับ Secure Boot
