Вихідна дата публікації: 13 лютого 2025 р.
Ідентифікатор KB: 5053946
Вступ
У цьому документі описано розгортання захисту від загальнодоступного обходу функції безпеки безпечного завантаження, який використовує bootkit BlackLotus UEFI, що відстежується CVE-2023-24932 для корпоративних середовищ.
Щоб уникнути переривання роботи, корпорація Майкрософт не планує розгортати ці послаблення ризиків на підприємствах, але надає ці вказівки, щоб допомогти підприємствам застосувати засоби послаблення ризиків самостійно. Це дає підприємствам змогу контролювати план розгортання та час розгортання.
Початок роботи
Розгортання поділено на кілька кроків, які можна виконати на часовій шкалі, яка працює для вашої організації. Ви повинні ознайомитися з цими кроками. Отримавши гарне розуміння кроків, слід розглянути, як вони працюватимуть у вашому середовищі, і підготувати плани розгортання, які працюють для вашого підприємства, на часовій шкалі.
Додавання нового сертифіката WINDOWS UEFI CA 2023 і недовіреність сертифіката Microsoft Windows Production PCA 2011 потребує співпраці з мікропрограми пристрою. Оскільки існує велика комбінація апаратного та мікропрограм пристрою, і корпорація Майкрософт не може протестувати всі комбінації, рекомендуємо протестувати репрезентативні пристрої у вашому середовищі, перш ніж розгортати широко. Радимо перевірити принаймні один пристрій кожного типу, який використовується у вашій організації. Деякі відомі проблеми з пристроєм, які заблокують ці послаблення ризиків, задокументовано як частину KB5025885. Як керувати відкликаннями диспетчера завантаження Windows для зміни безпечного завантаження, пов'язані з CVE-2023-24932. Якщо виявлено проблему мікропрограми пристрою, відсутня в розділі Відомі проблеми , зверніться до постачальника оригінального обладнання, щоб вирішити цю проблему.
Оскільки цей документ посилається на кілька різних сертифікатів, вони відображаються в таблиці нижче, щоб полегшити довідку та чіткість.
|
Старі CAs 2011 |
Нові CAs 2023 (термін дії завершується у 2038 р.) |
Функція |
|
Microsoft Corporation KEK CA 2011 (термін дії завершується в липні 2026 р.) |
Microsoft Corporation KEK CA 2023 |
Вивіски оновлень DB та DBX |
|
Microsoft Windows Production PCA 2011 (PCA2011) (термін дії завершується в жовтні 2026 р.) |
Windows UEFI CA 2023 (PCA2023) |
Знаки завантажувача Windows |
|
Microsoft Corporation UEFI CA 2011 (термін дії завершується в липні 2026 р.) |
Microsoft UEFI CA 2023 і Microsoft Option ROM UEFI CA 2023 |
Підписи сторонніх завантажувачів і варіант ПЗ |
Увага! Перш ніж тестувати пристрої з послабленням ризиків, обов'язково застосуйте останні оновлення системи безпеки до тестових комп'ютерів.
Нотатка Під час тестування мікропрограм пристрою ви можете виявити проблеми, які перешкоджають належній роботі оновлень безпечного завантаження. Для цього може знадобитися отримати оновлену мікропрограму від виробника (OEM) і оновити мікропрограму на відповідних пристроях, щоб зменшити проблеми, які ви виявите.
Для захисту від атак, описаних у CVE-2023-24932, потрібно застосувати чотири послаблення ризиків:
-
Послаблення ризику 1: Інсталюйте оновлене визначення сертифіката (PCA2023) до бази даних
-
Послаблення ризиків 2:Оновлення диспетчера завантаження на пристрої
-
Послаблення ризиків 3:Увімкнути відкликання (PCA2011)
-
Послаблення ризиків 4:Застосування оновлення SVN до мікропрограми
Ці чотири засоби послаблення ризиків можна застосувати вручну до кожного тестового пристрою, дотримуючись інструкцій, наведених у рекомендаціях із розгортаннязасобу захисту від ризиків KB5025885. Як керувати відкликаннями диспетчера завантаження Windows для безпечного завантаження, пов'язаними з CVE-2023-24932, або дотримуючись вказівок у цьому документі. Усі чотири засоби послаблення ризиків використовують мікропрограму для належної роботи.
Розуміння наведених нижче ризиків допоможе вам під час планування.
Проблеми з мікропрограмою:На кожному пристрої є мікропрограма, надана виробником пристрою. Для операцій розгортання, описаних у цьому документі, мікропрограма має мати змогу приймати та обробляти оновлення бази даних безпечного завантаження (база даних підписів) і DBX (заборонена база даних підписів). Крім того, мікропрограма відповідає за перевірку сигнатури або програм завантаження, включаючи диспетчер завантаження Windows. Мікропрограма пристрою – це програмне забезпечення, і, як і будь-яке програмне забезпечення, може мати дефекти, тому важливо перевірити ці операції, перш ніж розгортати широко.Корпорація Майкрософт постійно тестує багато комбінацій пристроїв і мікропрограм, починаючи з пристроїв у лабораторіях і офісах Microsoft, і корпорація Майкрософт працює з виробниками оригінального обладнання для тестування своїх пристроїв. Майже всі перевірені пристрої пройшли без проблем. У деяких випадках ми бачили проблеми з мікропрограмою неправильно обробляти оновлення, і ми працюємо з виробниками оригінального обладнання для вирішення проблем, про які ми знаємо.
Нотатка Якщо під час тестування пристрою виявлено проблему з мікропрограмою, радимо звернутися до виробника або виробника пристрою, щоб вирішити цю проблему. Знайдіть ідентифікатор події 1795 у журналі подій. Докладні відомості про події безпечного завантаження див. в статті KB5016061: події оновлення змінних DB та DBX для безпечного завантаження.
Інсталяція мультимедіа:Застосовуючи mitigation 3 та Mitigation 4, описані далі в цьому документі, будь-який наявний носій для інсталяції Windows більше не буде завантажуватися, доки в медіаданих не з'явиться оновлений диспетчер завантаження. Описані в цьому документі засоби послаблення ризиків запобігають запуску старих вразливих диспетчерів завантаження через недовірення їх до мікропрограми. Це запобігає зловмисник відкочування диспетчера завантаження системи до попередньої версії та використання вразливостей, наявних у попередніх версіях. Блокування цих вразливих диспетчерів завантаження не має впливати на запущену систему. Однак це не дозволить запустити будь-який завантажувальний носій, доки не буде оновлено диспетчери завантаження на медіавмісті. Це стосується образів ISO, завантажувальних USB-дисків і завантаження мережі (завантаження PxE і HTTP).
Оновлення для PCA2023 та нового диспетчера завантаження
-
Послаблення ризиків 1. Інсталяція оновлених визначень сертифікатів до бази даних Додає новий сертифікат Windows UEFI CA 2023 до бази даних UEFI Secure Boot Signature Database (DB). Додавши цей сертифікат до бази даних, мікропрограма пристрою буде довіряти програмам завантаження Microsoft Windows, підписаним цим сертифікатом.
-
Послаблення ризиків 2. Оновлення диспетчера завантаження на пристрої Застосовує новий диспетчер завантаження Windows, підписаний за допомогою нового сертифіката Windows UEFI CA 2023.
Ці засоби зниження ризику важливі для довгострокової зручності обслуговування Windows на цих пристроях. Оскільки термін дії сертифіката Microsoft Windows Production PCA 2011 у мікропрограмі завершиться в жовтні 2026 року, пристрої повинні мати новий сертифікат Windows UEFI CA 2023 в мікропрограмі до завершення терміну дії або пристрій більше не зможе отримувати оновлення Windows, поставивши його в вразливий стан безпеки.
Відомості про застосування ризиків 1 і зниження ризику 2 у двох окремих кроках (якщо ви хочете бути обережнішими, принаймні спочатку) див. в статті KB5025885. Як керувати скасуваннями диспетчера завантаження Windows для безпечного завантаження змін, пов'язаних із CVE-2023-24932. Або можна застосувати обидва засоби зниження ризику, виконавши таку операцію єдиного розділу реєстру як адміністратор:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x140 /f |
У міру застосування заходів послаблення ризиків біти в розділі AvailableUpdates буде очищено. Після встановлення значення 0x140 та перезавантаження значення зміниться на 0x100 а потім після іншого перезавантаження зміниться на 0x000.
Зниження ризиків диспетчера завантаження не буде застосовано, доки мікропрограма не вказує на успішне застосування послаблення ризиків сертифіката 2023. Ці операції не можна виконати за порядком.
Під час застосування обох засобів зниження ризику, розділ реєстру буде встановлено, щоб вказати, що система "2023 підтримує", це означає, що медіавміст може бути оновлений і зниження ризику 3 і зниження ризику 4 може бути застосовано.
У більшості випадків для завершення послаблення ризиків 1 і зменшення ризиків 2 потрібно принаймні два перезавантаження, перш ніж засоби послаблення ризиків буде повністю застосовано. Додавання додаткових перезавантажень у вашому середовищі допоможе гарантувати, що послаблення ризиків буде застосовано раніше. Однак, це не може бути практичним для штучного введення додаткових перезавантажень і може мати сенс покладатися на щомісячні перезавантаження, які відбуваються в рамках застосування оновлень системи безпеки. Це означає менше порушень у вашому середовищі, але ризикують зайняти більше часу, щоб забезпечити безпеку.
Після розгортання Mitigation 1 і Mitigation 2 на ваших пристроях слід стежити за своїми пристроями, щоб переконатися, що до них застосовано засоби послаблення ризиків і тепер вони "2023 здатні". Моніторинг можна зробити, шукаючи наведений нижче розділ реєстру в системі. Якщо ключ існує та має значення 1, система додала сертифікат 2023 до змінної бази даних безпечного завантаження. Якщо ключ існує та має значення 2, система має сертифікат 2023 в DB і починається з диспетчера завантаження з підписом 2023.
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing |
|
|
Ім'я значення ключа |
WindowsUEFICA2023Capable |
|
|
Тип даних |
REG_DWORD |
|
|
Дані |
0 – або ключ не існує - сертифіката "Windows UEFI CA 2023" немає в DB 1 - сертифікат "Windows UEFI CA 2023" в DB 2- Сертифікат "Windows UEFI CA 2023" перебуває в DB, а система запускається з диспетчера завантаження 2023 року. |
|
Оновити завантажувальний носій
Після застосування mitigation 1 і Mitigation 2 до ваших пристроїв можна оновити будь-який завантажувальний носій, який використовується у вашому середовищі. Оновлення завантажувального носія означає застосування диспетчера завантаження PCA2023 з підписом до носія. Це стосується оновлення образів завантаження мережі (наприклад, PxE і HTTP), образів ISO та USB-носіїв. В іншому разі пристрої, до яких застосовано засоби послаблення ризиків, не запускатимуться з завантажувального носія, який використовує попередній диспетчер завантаження Windows і ca 2011.
Інструменти та інструкції з оновлення кожного типу завантажувального носія доступні тут:
|
Тип мультимедіа |
Ресурс |
|
ISO, USB-носії тощо |
|
|
Сервер завантаження PXE |
Документація, яка буде надана пізніше |
Під час оновлення медіафайлів обов'язково перевірте медіавміст за допомогою пристрою з чотирма ризиками. Останні два послаблення ризиків заблокують старі вразливі менеджери завантаження. Щоб завершити цей процес, важливо мати мультимедіа з поточними диспетчерами завантаження.
Нотатка Оскільки атаки відкочування диспетчера завантаження є реальністю, і ми очікуємо, що поточні оновлення диспетчера завантаження Windows для вирішення проблем із безпекою, ми рекомендуємо підприємствам планувати напів регулярні оновлення медіафайлів і мати процеси, щоб зробити оновлення мультимедіа легким і менш тривалим. Наша мета полягає в обмеженні кількості диспетчера завантаження мультимедіа оновлюється до не більше двох разів на рік, якщо це можливо.
Завантажувальний носій не включає системний диск пристрою, на якому зазвичай розташовано Windows і запускається автоматично. Завантажувальний носій зазвичай використовується для завантаження пристрою, який не має завантажувальної версії Windows, і завантажувальний носій часто використовується для інсталяції Windows на пристрої.
Параметри безпечного завантаження UEFI визначають, яким диспетчерам завантаження довіряти за допомогою бази даних безпечного завантаження (база даних підписів) і DBX (заборонена база даних підписів). База даних містить геші та ключі для надійного програмного забезпечення, а сховища DBX відкликано, скомпрометовано та ненадійні геші та ключі, щоб запобігти запуску несанкціонованого або зловмисного програмного забезпечення під час процесу завантаження.
Варто подумати про різні стани, у яких може перебувати пристрій, і про те, який завантажувальний носій можна використовувати з пристроєм у кожному з цих станів. У всіх випадках мікропрограма визначає, чи слід довіряти диспетчеру завантаження, з яким він представлений, і, як тільки він запускає диспетчер завантаження, DB і DBX більше не консультуються з мікропрограмою. Завантажувальний носій може використовувати диспетчер завантаження 2011 CA або підписаний диспетчер завантаження 2023 CA, але не обидва. У наступному розділі описано, у яких станах може бути пристрій, а в деяких випадках – який носій можна завантажити з пристрою.
Ці сценарії пристроїв можуть допомогти під час створення планів розгортання заходів послаблення ризиків на всіх ваших пристроях.
Нові пристрої
Деякі нові пристрої почали доставку як з 2011, так і з 2023 CAs, попередньо інстальованих в мікропрограмі пристрою. Не всі виробники перейшли на обидва і все ще можуть бути доставки пристроїв тільки 2011 CA попередньо інстальовано.
-
Пристрої з CAs 2011 і 2023 можуть запускати медіафайли, які включають диспетчер завантаження 2011 CA або диспетчер завантаження 2023 CA.
-
Пристрої, на яких інстальовано лише ca 2011, можуть завантажуватися лише з диспетчером завантаження 2011 CA. Більшість старих носіїв включають у себе 2011 CA підписаний завантаження ясла.
Пристрої з послабленням ризиків 1 і 2
Ці пристрої були попередньо інстальовані з ca 2011 і, застосовуючи Mitigation 1, тепер мають 2023 CA інстальовано. Оскільки ці пристрої довіряють як CAs, ці пристрої можуть запускати мультимедіа з центром сертифікації 2011 і диспетчером завантаження з підписом 2023.
Пристрої з послабленням ризиків 3 та 4
Ці пристрої мають CA 2011, що входять до DBX і більше не довіряти медіавміст з 2011 CA підписаний диспетчер завантаження. Пристрій із цією конфігурацією запустить медіавміст лише з диспетчером завантаження з підписом центру сертифікації 2023.
Скидання безпечного завантаження
Якщо настройки безпечного завантаження скинуто до значень за замовчуванням, усі пом'якшення, застосовані до бази даних (додавання CA 2023) і DBX (ненадійний ca 2011), можуть більше не застосовуватися. Поведінка буде залежати від того, що мікропрограма за замовчуванням.
DBX
Якщо застосовано засоби послаблення ризиків 3 та/або 4, а DBX очищено, центр сертифікації 2011 року не буде в списку DBX і вважатиметься надійним. У такому разі знадобиться повторно застосувати послаблення ризиків 3 та/або 4.
ДБ
Якщо база даних містила CA 2023 і видаляється шляхом скидання параметрів безпечного завантаження до за замовчуванням, система може не завантажуватися, якщо пристрій залежить від 2023 CA підписаний диспетчер завантаження. Якщо пристрій не завантажується, скористайтеся засобом securebootrecovery.efi, описаним у KB5025885. Як керувати відкликаннями диспетчера завантаження Windows для відновлення системи, пов'язаних із CVE-2023-24932 .
Ненадійний PCA2011 та застосування безпечного номера версії до DBX
-
Послаблення ризиків 3. Увімкнення відкликання Ненадійний сертифікат Microsoft Windows Production PCA 2011, додавши його до мікропрограм Secure Boot DBX. Це призведе до мікропрограми не довіряти всі 2011 CA підписані менеджери завантаження і будь-який носій, який залежить від 2011 CA підписаний диспетчер завантаження.
-
Послаблення ризиків 4. Застосування оновлення безпечного номера версії до мікропрограми Застосовує оновлення secure Version Number (SVN) до мікропрограм Secure Boot DBX. Коли запускається диспетчер завантаження з підписом 2023, він виконує самостійну перевірку, порівнюючи SVN, що зберігається в мікропрограмі, з вбудованим SVN в диспетчер завантаження. Якщо диспетчер завантаження SVN нижчий за мікропрограму SVN, диспетчер завантаження не буде запущено. Ця функція запобігає відкочування диспетчера завантаження до старішої неоновлювалося версії. Для майбутніх оновлень системи безпеки для диспетчера завантаження SVN буде інкрементовано, а mitigation 4 – повторно.
Увага! Перш ніж застосовувати mitigation 3 і Mitigation 4, слід завершити послаблення ризиків 1 і зниження ризику 2.
Відомості про застосування mitigation 3 та Mitigation 4 у двох окремих кроках (якщо ви хочете бути обережнішими, принаймні спочатку) див. в статті KB5025885. Як керувати відкликаннями диспетчера завантаження Windows для безпечного завантаження змін, пов'язаних із CVE-2023-24932 Або можна застосувати обидва заходи зниження ризику, виконавши таку операцію єдиного розділу реєстру як адміністратор:
|
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x280 /f |
Для застосування обох заходів послаблення ризиків знадобиться лише одне перезавантаження для завершення операції.
-
Послаблення ризиків 3: Список відкликаних викликів успішно застосовано, шукаючи ідентифікатор події: 1037 у журналі подій для кожного KB5016061: події оновлення бази даних безпечного завантаження та змінної DBX.Крім того, ви можете виконати таку команду PowerShell як адміністратор і переконатися, що вона повертає значення True:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
-
Послаблення ризиків 4: Метод підтвердження застосування параметра SVN ще не існує. Цей розділ буде оновлено, коли рішення буде доступне.
Посилання
KB5016061: події оновлення змінних оновлення бази даних безпечного завантаження та DBX
