Вступ
Корпорації Майкрософт стало відомо про вразливість диспетчера завантаження Windows, який дає змогу зловмиснику обійти безпечне завантаження. Проблему в диспетчері завантаження виправлено та випущено як оновлення системи безпеки. Решта вразливості полягає в тому, що зловмисник із правами адміністратора або фізичним доступом до пристрою може відкотити диспетчер завантаження до версії без виправлення системи безпеки. Ця вразливість відкочування використовується зловмисною програмою BlackLotus для обходу безпечного завантаження, описаного CVE-2023-24932. Щоб вирішити цю проблему, ми відкликаємо вразливих диспетчерів завантаження.
Через велику кількість менеджерів завантаження, які потрібно заблокувати, ми використовуємо альтернативний спосіб блокування диспетчерів завантаження. Це впливає на операційні системи, не пов'язані з Windows, в тому, що виправлення доведеться надавати в цих системах, щоб заборонити диспетчерам завантаження Windows використовуватися як вектор атаки в операційних системах, відмінних від Windows.
Додаткові відомості
Один із способів блокування завантаження вразливих двійкових файлів програм EFI за допомогою мікропрограми – додати геші вразливих програм до забороненого списку UEFI (DBX). Список DBX зберігається в пристрої, на яких використовується спалах під керуванням мікропрограми. Обмеження цього методу блокування є обмежений мікропрограма флеш-пам'яті, доступний для зберігання DBX. Через це обмеження та велику кількість диспетчерів завантаження, які мають бути заблоковані (диспетчери завантаження Windows протягом останніх 10 років), повністю покладатися на DBX для цієї проблеми неможливо.
Для цієї проблеми ми вибрали гібридний метод блокування вразливих диспетчерів завантаження. До DBX буде додано лише кілька менеджерів завантаження, випущених у попередніх версіях Windows. Для Windows 10 та пізніших версій використовуватиметься політика керування програмами Захисник Windows (WDAC), яка блокує вразливі диспетчери завантаження Windows. Коли політика застосовується до системи Windows, диспетчер завантаження "заблокує" політику до системи, додавши змінну до мікропрограми UEFI. Диспетчери завантаження Windows будуть дотримується політики та блокування UEFI. Якщо блокування UEFI на місці, а політику видалено, диспетчер завантаження Windows не запускається. Якщо політику ввімкнуто, диспетчер завантаження не запускається, якщо її заблокувала політика.
Інструкції з блокування вразливих диспетчерів завантаження Windows
ПРИМІТКА Користувачам слід надати можливість застосувати змінну, щоб вони могли контролювати, коли вони захищені.
Увімкнення блокування UEFI призведе до припинення завантаження наявного завантажувального носія Windows, доки мультимедіа не буде оновлено оновленнями Windows, випущеними 9 травня 2023 р. або пізніше. Інструкції з оновлення медіавмісту можна знайти в KB5025885: Керування відкликаннями Диспетчера завантаження Windows для зміни безпечного завантаження, пов'язані з CVE-2023-24932.
-
Для систем із підтримкою безпечного завантаження, які завантажуються лише в операційних системах, відмінних
від Windows Для систем, які запускаються лише з операційних систем, відмінних від Windows і ніколи не запускаються, ці засоби захисту можна негайно застосувати до системи. -
Для систем подвійного завантаження Windows та іншої операційної системи
Для систем, які запускують Windows, послаблення ризиків, відмінних від Windows, слід застосовувати лише після оновлення операційної системи Windows до оновлень Windows, випущених 9 травня 2023 р. або пізніше.
Створення блокування UEFI
UEFI Lock має дві змінні, необхідні для запобігання відкочування атак у диспетчері завантаження Windows. Ось такі змінні:
-
Атрибути SKU SiPolicy
Ця політика має такі атрибути:
-
Ідентифікатор типу політики:
{976d12c8-cb9f-4730-be52-54600843238e}
-
Ім'я файлу "SkuSiPolicy.p7b"
-
Конкретне фізичне розташування EFI\Microsoft\Boot
Як і всі підписані політики WDAC, підписана політика облікового номера захищена двома змінними UEFI:
-
SKU_POLICY_VERSION_NAME: "SkuSiPolicyVersion"
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME: "SkuSiPolicyUpdateSigners"
-
-
SKU SiPolicy Variables
У цій політиці використовуються дві змінні UEFI, які зберігаються в просторі імен EFI або постачальника
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
має тип ULONGLONG/UInt64 під час виконання
-
визначається <VersionEx>2.0.0.2</VersionEx> політики XML у формі (MAJOR. НЕЗНАЧНІ. ПЕРЕГЛЯД. BUILDNUMBER)
-
Вона перекладається на ULONGLONG як
((major##ULL << 48) + (minor##ULL << 32) + (редакція##ULL << 16) + buildnumber)
Кожен номер версії має 16 бітів, тому він має в цілому 64 біти.
-
Новіша версія політики має бути рівною або більшою за версію, що зберігається в змінну UEFI під час виконання.
-
Опис: Set's the code integrity boot policy version.
-
Атрибути:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
GUID простору імен:
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Тип даних:
uint8_t[8]
-
Даних:
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Це має бути підписувач Windows.
-
Опис: відомості про підписувача політики.
-
Атрибути:
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
GUID простору імен:
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Тип даних:
uint8_t[131]
-
Даних:
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00
0x00, 0x00, 0x00};
-
-
Застосування DBX
Ми випустили файл DbxUpdate.bin для цієї проблеми в UEFI.org. Ці геші включають усі відкликані диспетчери завантаження Windows, випущені між Windows 8, і початковий випуск Windows 10, які не дотримуються політики цілісності коду.
Це надзвичайно важливо, що вони застосовуються з обережністю через ризик того, що вони можуть порушити подвійне завантаження системи, яка використовує кілька операційних систем і один з цих менеджерів завантаження. У короткостроковій перспективі ми рекомендуємо, щоб для будь-якої системи ці геші за потреби застосовувалися.
