Tóm tắt
Vào ngày 29 tháng 7 năm 2020, Microsoft đã xuất bản tư vấn bảo mật 200011 mô tả một lỗ hổng mới liên quan đến Khởi động An toàn. Các thiết bị tin cậy Cơ quan Cấp chứng chỉ (CA) Giao diện Vi chương trình Hợp nhất (UEFI) bên thứ ba của Microsoft trong cấu hình Khởi động An toàn có thể dễ bị kẻ tấn công có đặc quyền quản trị hoặc quyền truy cập vật lý vào thiết bị.
Bài viết này cung cấp hướng dẫn để áp dụng danh sách thu hồi DBX Khởi động An toàn mới nhất để làm vô hiệu hóa các mô-đun dễ bị tấn công. Microsoft sẽ đẩy một bản cập nhật lên Windows Update để khắc phục lỗ hổng này vào Mùa Xuân năm 2022.
Nhị phân cập nhật Khởi động An toàn được lưu trữ trên trang web UEFI này.
Các tệp được đăng như sau:
-
Tệp Danh sách Thu hồi UEFI cho x86 (32 bit)
-
Tệp Danh sách Thu hồi UEFI cho x64 (64 bit)
-
Tệp Danh sách Thu hồi UEFI cho arm64
Sau khi các hàm hashe này được thêm vào DBX Khởi động An toàn trên thiết bị của bạn, các ứng dụng đó sẽ không còn được phép tải.
Quan trọng: Site này lưu trữ các tệp cho mọi cấu trúc. Mỗi tệp được lưu trữ chỉ bao gồm các hàm hashe của các ứng dụng áp dụng cho kiến trúc cụ thể. Bạn phải áp dụng một trong các tệp này cho mọi thiết bị nhưng phải đảm bảo rằng bạn áp dụng tệp phù hợp với cấu trúc của tệp. Mặc dù về mặt kỹ thuật có thể áp dụng bản cập nhật cho một cấu trúc khác nhưng việc không cài đặt bản cập nhật thích hợp sẽ khiến thiết bị không được bảo vệ.
Chú ý: Đọc bài viết tư vấn chính về lỗ hổng này trước khi bạn thử bất kỳ bước nào sau đây. Việc áp dụng không chính xác các bản cập nhật DBX có thể ngăn thiết bị của bạn khởi động.
Bạn chỉ nên làm theo các bước sau nếu điều kiện sau đây là đúng:
-
Bạn không dựa vào việc bắt đầu bất kỳ ứng dụng khởi động nào đang bị chặn bởi bản cập nhật này.
Thông tin Bổ sung
Áp dụng bản cập nhật DBX trên Windows
Sau khi bạn đọc các cảnh báo trong mục trước và xác minh rằng thiết bị của bạn tương thích, hãy làm theo các bước sau để cập nhật DBX Khởi động An toàn:
-
Tải xuống Tệp Danh sách Thu hồi UEFI (Dbxupdate.bin) phù hợp cho nền tảng của bạn từ trang web UEFI này.
-
Bạn phải tách tệp Dbxupdate.bin thành các cấu phần cần thiết để áp dụng chúng bằng cách sử dụng lệnh ghép ngắn PowerShell. Để thực hiện việc này, hãy làm theo các bước sau:
-
Tải xuống tập lệnh PowerShell từ trang web Bộ sưu tập PowerShell này.
-
Để giúp định vị tập lệnh, hãy chạy lệnh ghép ngắn sau đây:
-
Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation
-
-
Xác minh rằng lệnh ghép ngắn đã tải xuống thành công tập lệnh và cung cấp chi tiết đầu ra, bao gồm Tên, Phiên bản, Tác giả, Ngày_Phát_hành, Ngày_Cài_đặt và Đã_Cài_Đặt.
-
Chạy lệnh ghép ngắn sau:
-
[string]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)
-
cd $ScriptPath
-
Ls
-
-
Xác minh rằng tệp SplitDbxContent.ps1 hiện nằm trong thư mục Tập lệnh.
-
Chạy tập lệnh PowerShell sau đây trên tệp Dbxupdate.bin:
SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin" -
Xác minh rằng lệnh đã tạo các tệp sau.
-
Content.bin – cập nhật nội dung
-
Signature.p7 – chữ ký cho phép quy trình cập nhật
-
-
-
Trong phiên PowerShell quản trị, hãy chạy lệnh ghép ngắn Set-SecureBootUefi để áp dụng bản cập nhật DBX:
bản cậpSet-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
Kết quả đầu ra dự
-
Để hoàn tất quá trình cài đặt bản cập nhật, hãy khởi động lại thiết bị.
Để biết thêm thông tin về lệnh ghép ngắn cấu hình Khởi động An toàn và cách sử dụng cho các bản cập nhật DBX, hãy xem Set-Secure.
Xác minh rằng đã cập nhật thành công
Sau khi bạn hoàn thành thành công các bước trong mục trước đó và khởi động lại thiết bị, hãy làm theo các bước sau để xác minh rằng bản cập nhật đã được áp dụng thành công. Sau khi xác minh thành công, thiết bị của bạn sẽ không còn bị ảnh hưởng bởi lỗ hổng GRUB.
-
Tải xuống tập lệnh xác minh bản cập nhật DBX từ trang web GitHub Gist này.
-
Trích xuất tập lệnh và nhị phân từ tệp nén.
-
Chạy tập lệnh PowerShell sau đây trong thư mục chứa tập lệnh mở rộng và nhị phân để xác minh bản cập nhật DBX:
Bản cậpCheck-Dbx.ps1 '.\dbx-2021-April.bin' -
Xác minh rằng đầu ra khớp với kết quả mong đợi.
FAQ
Câu hỏi 1: Thông báo lỗi "Get-SecureBootUEFI: Lệnh ghép ngắn không được hỗ trợ trên nền tảng này" có nghĩa là gì?
A1: Thông báo lỗi này cho biết không bật tính năng Khởi động An toàn trên máy tính. Vì vậy, thiết bị này không bị ảnh hưởng bởi lỗ hổng GRUB. Không cần phải làm gì thêm.
Câu hỏi 2: Làm thế nào để cấu hình thiết bị tin cậy hoặc không tin cậy UEFI CA bên thứ ba?
A2: Chúng tôi khuyên bạn nên tham khảo nhà cung cấp OEM của mình.
Đối với Microsoft Surface, thay đổi cài đặt Khởi động An toàn thành "Chỉ Microsoft", rồi chạy lệnh PowerShell sau (kết quả phải là "False"):
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'
Để biết thêm thông tin về cách đặt cấu hình cho Microsoft Surface, hãy xem Quản lý cài đặt Surface UEFI - Surface | Microsoft Docs.
Câu hỏi 3: Sự cố này có ảnh hưởng đến máy ảo Azure IaaS Generation 1 và Generation 2 không?
A3: Không. Máy ảo khách Azure Gen1 và Gen2 không hỗ trợ tính năng Khởi động An toàn. Do đó, họ không bị ảnh hưởng bởi chuỗi tấn công tin cậy.
Câu hỏi 4: ADV200011 và CVE-2020-0689 có tham chiếu đến cùng một lỗ hổng liên quan đến Khởi động An toàn không?
A: Không. Các tư vấn bảo mật này mô tả các lỗ hổng khác nhau. "ADV200011" đề cập đến một lỗ hổng trong GRUB (cấu phần Linux) có thể gây ra máy bỏ qua Khởi động An toàn. "CVE-2020-0689" đề cập đến một lỗ hổng bỏ qua tính năng bảo mật tồn tại trong Khởi động An toàn.
Q5: Tôi không thể chạy một trong hai tập lệnh PowerShell. Tôi nên làm gì?
A: Xác nhận chính sách thực thi PowerShell bằng cách chạy lệnh Get-ExecutionPolicy . Tùy thuộc vào đầu ra, bạn có thể phải cập nhật chính sách thực thi:
Các sản phẩm của bên thứ ba được thảo luận trong bài viết này được sản xuất bởi các công ty độc lập với Microsoft. Microsoft không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, liên quan đến hiệu suất hoặc mức độ tin cậy của các sản phẩm này.
Microsoft cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm thêm thông tin về chủ đề này. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba.
Áp dụng cho:
Windows 10 dành cho Hệ thống 32 bit
Windows 10 cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 2004 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 2004 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 2004 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1909 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1909 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 1909 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1903 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1903 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 1903 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1809 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1809 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 1809 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1803 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1803 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 1803 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1709 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1709 dành cho Hệ thống dựa trên
ARM64
Windows 10 Phiên bản 1709 dành cho Hệ thống dựa trên
x64
Windows 10 Phiên bản 1607 dành cho Hệ thống 32 bit
Windows 10 Phiên bản 1607 dành cho Hệ thống dựa trên
x64
Windows 8.1 dành cho hệ thống 32 bit
Windows 8.1 cho hệ thống dựa trên
x64
Windows RT 8.1
Windows Server, phiên bản 2004 (Bản cài đặt Server Core)
Windows Server, phiên bản 1909 (Cài đặt Server Core)
Windows Server, phiên bản 1903 (Cài đặt Server Core)
Windows Server 2019
Windows Server 2019 (Bản cài đặt Server Core)
Windows Server 2016
Windows Server 2016 (Bản cài đặt Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (Cài đặt Server Core)
Windows Server 2012
Windows Server 2012 (Bản cài đặt Server Core)
