Özgün yayımlama tarihi: 13 Şubat 2025, İstanbul
KB Kimliği: 5053946
Giriş
Bu belgede, kurumsal ortamlar için CVE-2023-24932 tarafından izlenen BlackLotus UEFI önyükleme setini kullanan genel olarak açıklanan Güvenli Önyükleme güvenlik özelliği atlamalarına karşı korumaların dağıtımı açıklanmaktadır.
Microsoft, kesintileri önlemek için bu risk azaltmaları kuruluşlara dağıtmayı planlamaz, ancak kuruluşların risk azaltmaları uygulamalarına yardımcı olmak için bu kılavuzu sağlar. Bu, kuruluşlara dağıtım planı ve dağıtımların zamanlaması üzerinde denetim sağlar.
Kullanmaya başlayın
Dağıtımı, kuruluşunuz için uygun bir zaman çizelgesinde gerçekleştirilebilecek birden çok adıma ayırdık. Bu adımları yakından tanımanız gerekir. Adımları iyi anladıktan sonra, bunların ortamınızda nasıl çalışacağını göz önünde bulundurmalı ve zaman çizelgenizde kuruluşunuz için çalışan dağıtım planlarını hazırlamalısınız.
Yeni Windows UEFI CA 2023 sertifikasının eklenmesi ve Microsoft Windows Production PCA 2011 sertifikasına güvenilmezken cihazın üretici yazılımından işbirliği yapılması gerekir. Cihaz donanımı ve üretici yazılımının büyük bir bileşimi olduğundan ve Microsoft tüm kombinasyonları test edemediğinden, geniş bir dağıtımdan önce ortamınızdaki temsili cihazları test etmenizi öneririz. Kuruluşunuzda kullanılan her türden en az bir cihazı test etmenizi öneririz. Bu azaltmaları engelleyecek bazı bilinen cihaz sorunları KB5025885 kapsamında belgelenmiştir : CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows önyükleme yöneticisi iptallerini yönetme. Bilinen Sorunlar bölümünde listelenmeyen bir cihaz üretici yazılımı sorunu algılarsanız, sorunu çözmek için OEM satıcınızla birlikte çalışın.
Bu belge birkaç farklı sertifikaya başvurduğundan, kolay başvuru ve netlik için aşağıdaki tabloda sunulmuştur:
|
Eski 2011 CA'ları |
Yeni 2023 CA'ları (2038'de sona erecek) |
İşlev |
|
Microsoft Corporation KEK CA 2011 (Temmuz 2026'da sona eriyor) |
Microsoft Corporation KEK CA 2023 |
DB ve DBX güncelleştirmelerini imzalar |
|
Microsoft Windows Production PCA 2011 (PCA2011) (Süresi Ekim 2026'da sona eriyor) |
Windows UEFI CA 2023 (PCA2023) |
Windows önyükleme yükleyicisini imzalar |
|
Microsoft Corporation UEFI CA 2011 (Temmuz 2026'da sona eriyor) |
Microsoft UEFI CA 2023 ve Microsoft Option ROM UEFI CA 2023 |
Üçüncü taraf önyükleme yükleyicilerini ve seçenek ROM'larını imzalar |
Önemli Cihazları risk azaltmalarla test etmeden önce test makinelerine en son güvenlik güncelleştirmelerini uyguladığından emin olun.
Not Cihaz üretici yazılımı testi sırasında Güvenli Önyükleme güncelleştirmelerinin düzgün çalışmasını engelleyen sorunlar bulabilirsiniz. Bu, bulduğunuz sorunları azaltmak için üreticiden (OEM) güncelleştirilmiş üretici yazılımının alınması ve etkilenen cihazlardaki üretici yazılımının güncelleştirilmesi gerekebilir.
CVE-2023-24932'de açıklanan saldırılara karşı korunmak için uygulanması gereken dört azaltma vardır:
-
Azaltma 1: Güncelleştirilmiş sertifika (PCA2023) tanımını DB'ye yükleme
-
Azaltma 2:Cihazınızda önyükleme yöneticisini güncelleştirme
-
Azaltma 3:İptali etkinleştirme (PCA2011)
-
Azaltma 4:SVN güncelleştirmesini üretici yazılımına uygulama
Bu dört azaltma, KB5025885 Azaltma dağıtım yönergelerinde açıklanan yönergeleri izleyerek test cihazlarının her birine el ile uygulanabilir : CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows önyükleme yöneticisi iptallerini yönetme veya bu belgedeki yönergeleri izleyerek. Dört azaltmanın da düzgün çalışması için üretici yazılımına bağlıdır.
Aşağıdaki riskleri anlamak, planlama sürecinizde size yardımcı olacaktır.
Üretici Yazılımı Sorunları:Her cihaz, üretici tarafından sağlanan üretici yazılımına sahiptir. Bu belgede açıklanan dağıtım işlemleri için üretici yazılımının Güvenli Önyükleme DB (İmza Veritabanı) ve DBX (Yasak İmza Veritabanı) güncelleştirmelerini kabul edebilmesi ve işleyebilmesi gerekir. Ayrıca üretici yazılımı, Windows önyükleme yöneticisi de dahil olmak üzere imza veya önyükleme uygulamalarını doğrulamakla sorumludur. Cihaz üretici yazılımı yazılımdır ve herhangi bir yazılım gibi kusurları olabilir, bu nedenle yaygın olarak dağıtmadan önce bu işlemleri test etmek önemlidir.Microsoft, Microsoft laboratuvarları ve ofislerindeki cihazlardan başlayarak birçok cihaz/üretici yazılımı birleşimini sürekli test etmektedir ve Microsoft, cihazlarını test etmek için OEM'lerle çalışmaktadır. Test edilen neredeyse tüm cihazlar sorunsuz geçti. Birkaç durumda, üretici yazılımının güncelleştirmeleri doğru şekilde işlememesiyle ilgili sorunlar gördük ve oem'lerle birlikte farkında olduğumuz sorunları çözmek için çalışıyoruz.
Not Cihaz testi sırasında bir üretici yazılımı sorunu algılarsanız, sorunu çözmek için cihaz üreticinizle/OEM'nizle birlikte çalışmanızı öneririz. Olay günlüğünde Olay Kimliği 1795'i arayın. Güvenli Önyükleme olayları hakkında daha fazla bilgi için bkz . KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları .
Medya Yükle:Bu belgenin ilerleyen bölümlerinde açıklanan Azaltma 3 ve Azaltma 4'ü uygulayarak, medyada güncelleştirilmiş bir önyükleme yöneticisi bulunana kadar mevcut Windows yükleme medyası önyüklenemez. Bu belgede açıklanan azaltmalar, eski, savunmasız önyükleme yöneticilerinin üretici yazılımında güvenilmeyerek çalışmasını engeller. Bu, bir saldırganın sistem önyükleme yöneticisini önceki bir sürüme geri döndürmesini ve eski sürümlerde bulunan güvenlik açıklarından yararlanmasını önler. Bu güvenlik açığı olan önyükleme yöneticilerinin engellenmesinin çalışan sistem üzerinde hiçbir etkisi olmamalıdır. Ancak, medyadaki önyükleme yöneticileri güncelleştirilene kadar önyüklenebilir medyaların başlatılmasını engeller. Buna ISO görüntüleri, önyüklenebilir USB sürücüleri ve Ağ önyüklemesi (PxE ve HTTP önyüklemesi) dahildir.
PCA2023 ve yeni önyükleme yöneticisine güncelleştirme
-
Risk Azaltma 1: Güncelleştirilmiş sertifika tanımlarını DB'ye yükleme Yeni Windows UEFI CA 2023 sertifikasını UEFI Güvenli Önyükleme İmza Veritabanı'na (DB) ekler. Cihaz üretici yazılımı, bu sertifikayı veritabanına ekleyerek bu sertifika tarafından imzalanan Microsoft Windows önyükleme uygulamalarına güvenir.
-
Risk Azaltma 2: Cihazınızda önyükleme yöneticisini güncelleştirme Yeni Windows UEFI CA 2023 sertifikasıyla imzalanan yeni Windows önyükleme yöneticisini uygular.
Bu azaltmalar, Windows'un bu cihazlarda uzun süreli hizmet verebilirliği için önemlidir. Üretici yazılımındaki Microsoft Windows Production PCA 2011 sertifikasıNın süresi Ekim 2026'da dolacağından, cihazların süresi dolmadan önce üretici yazılımında yeni Windows UEFI CA 2023 sertifikasına sahip olması gerekir, aksi takdirde cihaz artık Windows güncelleştirmelerini alamaz ve bu da güvenlik açığına neden olur.
İki ayrı adımda Azaltma 1 ve Azaltma 2'nin nasıl uygulanacağı hakkında bilgi için (en azından ilk başta daha dikkatli olmak istiyorsanız) bkz. KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows önyükleme yöneticisi iptallerini yönetme. Ya da yönetici olarak aşağıdaki tek kayıt defteri anahtarı işlemini çalıştırarak her iki azaltmayı da uygulayabilirsiniz:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
Azaltmalar uygulandığında , AvailableUpdates anahtarındaki bitler temizlenir. 0x140 ve yeniden başlatıldıktan sonra değer 0x100 olarak değişir ve sonra başka bir yeniden başlatmadan sonra 0x000 olarak değişir.
Önyükleme yöneticisi azaltması, üretici yazılımı 2023 sertifika azaltmasının başarıyla uygulandığını belirtene kadar uygulanmaz. Bu işlemler sırayla gerçekleştirilemez.
Her iki azaltma da uygulandığında, sistemin "2023 özellikli" olduğunu belirtmek için bir kayıt defteri anahtarı ayarlanır, yani medya güncelleştirilebilir ve Azaltma 3 ve Azaltma 4 uygulanabilir.
Çoğu durumda, Risk Azaltma 1 ve Azaltma 2'nin tamamlanması, risk azaltmaların tam olarak uygulanması için en az iki yeniden başlatma gerektirir. Ortamınıza ek yeniden başlatmalar eklemek, risk azaltmaların daha erken uygulanmasını sağlamaya yardımcı olur. Ancak, ek yeniden başlatmaları yapay olarak eklemek pratik olmayabilir ve güvenlik güncelleştirmelerinin uygulanması kapsamında gerçekleşen aylık yeniden başlatmalara güvenmek mantıklı olabilir. Bunun yapılması, ortamınızda daha az kesinti olduğu ancak güvenliğin daha uzun sürme riski olduğu anlamına gelir.
Cihazlarınıza Risk Azaltma 1 ve Risk Azaltma 2'yi dağıttıktan sonra, azaltmaların uygulandığından ve artık "2023 özellikli" olduklarından emin olmak için cihazlarınızı izlemeniz gerekir. İzleme, sistemde aşağıdaki kayıt defteri anahtarı aranarak yapılabilir. Anahtar varsa ve 1 olarak ayarlandıysa, sistem Secure Boot DB değişkenine 2023 sertifikasını eklemiştir. Anahtar varsa ve 2 olarak ayarlandıysa, sistemde 2023 sertifikası db'de bulunur ve 2023 imzalı önyükleme yöneticisiyle başlar.
|
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Anahtar Değeri adı |
WindowsUEFICA2023Capable |
|
|
Veri tipi |
REG_DWORD |
|
|
Veri |
0 – veya anahtar yok - "Windows UEFI CA 2023" sertifikası db'de değil 1 - "Windows UEFI CA 2023" sertifikası db'de 2 - "Windows UEFI CA 2023" sertifikası DB'de ve sistem 2023 imzalı önyükleme yöneticisinden başlıyor. |
|
Önyüklenebilir Medyayı Güncelleştirme
Cihazlarınıza Risk Azaltma 1 ve Risk Azaltma 2 uygulandıktan sonra ortamınızda kullandığınız önyüklenebilir medyaları güncelleştirebilirsiniz. Önyüklenebilir medyanın güncelleştirilmesi, PCA2023 imzalı önyükleme yöneticisinin medyaya uygulanması anlamına gelir. Bu, ağ önyükleme görüntülerini (PxE ve HTTP gibi), ISO görüntülerini ve USB sürücülerini güncelleştirmeyi içerir. Aksi takdirde, azaltmaları uygulanan cihazlar eski Windows önyükleme yöneticisini ve 2011 CA'yı kullanan önyükleme medyasından başlamaz.
Önyüklenebilir medya türlerinin nasıl güncelleştirileceklerine ilişkin araçlar ve yönergelere buradan ulaşabilirsiniz:
|
Medya Türü |
Kaynak |
|
ISO, USB sürücüleri vb. |
|
|
PXE Önyükleme Sunucusu |
Daha sonra sağlanacak belgeler |
Medya güncelleştirme işleminiz sırasında, medyayı dört azaltmanın da bulunduğu bir cihazla test ettiğinizden emin olmalısınız. Son iki azaltma, eski ve savunmasız önyükleme yöneticilerini engeller. Mevcut önyükleme yöneticileriyle medyanın mevcut olması, bu sürecin tamamlanmasının önemli bir parçasıdır.
Not Önyükleme yöneticisi geri alma saldırıları gerçek olduğundan ve güvenlik sorunlarını gidermek için Windows önyükleme yöneticisinde devam eden güncelleştirmeler beklediğimiz için kuruluşların yarı düzenli medya güncelleştirmeleri planlamasını ve medya güncelleştirmelerini kolay ve daha az zaman alan işlemlere sahip olmasını öneririz. Hedefimiz, mümkünse medya önyükleme yöneticisi yenileme sayısını yılda en fazla iki kez ile sınırlamaktır.
Önyüklenebilir medya, Windows'un genellikle bulunduğu ve otomatik olarak başlatıldığı cihaz sistem sürücüsünü içermez. Önyüklenebilir medya genellikle önyüklenebilir bir Windows sürümü olmayan bir cihazı önyüklemek için kullanılır ve önyüklenebilir medya genellikle Windows'u cihaza yüklemek için kullanılır.
UEFI Güvenli Önyükleme ayarları, Güvenli Önyükleme DB (İmza Veritabanı) ve DBX (Yasak İmza Veritabanı) kullanarak hangi önyükleme yöneticilerinin güveneceğini belirler. Db, güvenilen yazılım için karmaları ve anahtarları içerir ve DBX, yetkisiz veya kötü amaçlı yazılımların önyükleme işlemi sırasında çalışmasını önlemek için iptal edilmiş, güvenliği aşılmış ve güvenilir olmayan karmalar ve anahtarları depolar.
Bir cihazın içinde bulunabileceği farklı durumları ve bu durumların her birinde cihazla hangi önyüklenebilir medyanın kullanılabileceğini düşünmek yararlıdır. Her durumda üretici yazılımı, sunulduğu önyükleme yöneticisine güvenmesi gerekip gerekmediğini belirler ve önyükleme yöneticisini çalıştırdıktan sonra DB ve DBX'e üretici yazılımı tarafından artık başvurulmaz. Önyüklenebilir medya 2011 CA imzalı önyükleme yöneticisi veya 2023 CA imzalı önyükleme yöneticisi kullanabilir ancak ikisini birden kullanamaz. Sonraki bölümde cihazın hangi durumlarda bulunabileceği ve bazı durumlarda cihazdan hangi medyanın önyüklenebileceği açıklanmaktadır.
Bu cihaz senaryoları, azaltmaları cihazlarınıza dağıtma planları yaparken yardımcı olabilir.
Yeni Cihazlar
Bazı yeni cihazlar hem 2011 hem de 2023 CA'ları cihaz üretici yazılımına önceden yüklenmiş olarak göndermeye başladı. Tüm üreticiler her ikisine de sahip olmak için geçiş yapmamış ve yine de yalnızca 2011 CA'sı önceden yüklenmiş cihazlar gönderiyor olabilir.
-
Hem 2011 hem de 2023 CA'larına sahip cihazlar, 2011 CA imzalı önyükleme yöneticisini veya 2023 CA imzalı önyükleme yöneticisini içeren medyayı başlatabilir.
-
Yalnızca 2011 CA yüklü cihazlar, medyayı yalnızca 2011 CA imzalı önyükleme yöneticisiyle önyükleyebilir. Çoğu eski medya, 2011 CA imzalı önyükleme mangerını içerir.
Risk Azaltmaları 1 ve 2 olan cihazlar
Bu cihazlar 2011 CA'sı ile önceden yüklenmiştir ve Risk Azaltma 1 uygulanarak 2023 CA'sı yüklenmiştir. Bu cihazlar her iki CA'ya da güvendiğinden, bu cihazlar hem 2011 CA'sı hem de 2023 imzalı önyükleme yöneticisi ile medyayı başlatabilir.
Risk Azaltmaları 3 ve 4 olan cihazlar
Bu cihazlar DBX'te bulunan 2011 CA'sını içerir ve artık 2011 CA imzalı önyükleme yöneticisine sahip medyaya güvenmez. Bu yapılandırmaya sahip bir cihaz, medyayı yalnızca 2023 CA imzalı önyükleme yöneticisiyle başlatır.
Güvenli Önyükleme Sıfırlaması
Güvenli Önyükleme ayarları varsayılan değerlere sıfırlandıysa, DB'ye (2023 CA'yı ekleme) ve DBX'e (2011 CA'ya güvenilmeyen) uygulanan risk azaltmaları artık geçerli olmayabilir. Davranış, üretici yazılımı varsayılanlarının ne olduğuna bağlıdır.
DBX
Azaltma 3 ve/veya 4 uygulanmışsa ve DBX temizlenmişse, 2011 CA'sı DBX listesinde olmayacak ve yine de güvenilir olacaktır. Bu durumda, 3 ve/veya 4 risk azaltmalarını yeniden uygulamanız gerekir.
DB
Veritabanı 2023 CA'sını içeriyorsa ve Güvenli Önyükleme ayarları varsayılanlara sıfırlanarak kaldırılırsa, cihaz 2023 CA imzalı önyükleme yöneticisine bağlıysa sistem önyüklenmeyebilir. Cihaz önyüklenmiyorsa, sistemi kurtarmak için KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows önyükleme yöneticisi iptallerini yönetme başlığı altında açıklanan securebootrecovery.efi aracını kullanın.
Güvenilmeyen PCA2011 ve DBX'e Güvenli Sürüm Numarası uygulama
-
Azaltma 3: İptali etkinleştirme Microsoft Windows Production PCA 2011 sertifikasını, üretici yazılımı Secure Boot DBX'e ekleyerek güvenilmez. Bu, üretici yazılımının tüm 2011 CA imzalı önyükleme yöneticilerine ve 2011 CA imzalı önyükleme yöneticisine dayalı herhangi bir medyaya güvenmemelerine neden olur.
-
Azaltma 4: Üretici yazılımına Güvenli Sürüm Numarası güncelleştirmesini uygulama Secure Boot DBX üretici yazılımına Güvenli Sürüm Numarası (SVN) güncelleştirmesini uygular. 2023 imzalı bir önyükleme yöneticisi çalışmaya başladığında, üretici yazılımında depolanan SVN'yi önyükleme yöneticisinde yerleşik olarak bulunan SVN ile karşılaştırarak kendi kendine denetim gerçekleştirir. Önyükleme yöneticisi SVN'sinin üretici yazılımı SVN'sinden düşük olması durumunda önyükleme yöneticisi çalışmaz. Bu özellik, saldırganın önyükleme yöneticisini eski, güncelleştirilmeyen bir sürüme geri döndürmesini engeller. Önyükleme yöneticisinin gelecekteki güvenlik güncelleştirmeleri için SVN artırılır ve Risk Azaltma 4'ün yeniden uygulanması gerekir.
Önemli Azaltma 3 ve Azaltma 4 uygulanmadan önce Azaltma 1 ve Azaltma 2 tamamlanmalıdır.
İki ayrı adımda Risk Azaltma 3 ve Risk Azaltma 4'ün nasıl uygulanacağı hakkında bilgi için (en azından önce daha dikkatli olmak istiyorsanız) bkz. KB5025885: CVE-2023-24932 ile ilişkili Güvenli Önyükleme değişiklikleri için Windows önyükleme yöneticisi iptallerini yönetme Veya yönetici olarak aşağıdaki tek kayıt defteri anahtarı işlemini çalıştırarak her iki azaltmayı da uygulayabilirsiniz:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Her iki azaltmayı da birlikte uygulamak, işlemi tamamlamak için yalnızca bir yeniden başlatma gerektirir.
-
Azaltma 3: olay günlüğünde Olay Kimliği: 1037'yi arayarak, KB5016061 başına: Güvenli Önyükleme DB'si ve DBX değişken güncelleştirme olaylarını arayarak iptal listesinin başarıyla uygulandığını doğrulayabilirsiniz.Alternatif olarak, aşağıdaki PowerShell komutunu Yönetici olarak çalıştırabilir ve Doğru döndürdüğünden emin olabilirsiniz:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Azaltma 4: SVN ayarının uygulandığını onaylamak için bir yöntem henüz mevcut değil. Bu bölüm, bir çözüm kullanılabilir olduğunda güncelleştirilir.
Başvurular
KB5016061: Güvenli Önyükleme DB ve DBX değişken güncelleştirme olayları
