KB5025885: Cách quản lý việc thu hồi Trình quản lý Khởi động Windows đối với các thay đổi Khởi động An toàn được liên kết với CVE-2023-24932

Trong bài viết này

• Tóm tắt

  • Thực hiện Hành động

  • Phạm vi Tác động

  • Hiểu rõ các rủi ro

  • Sự cố Đã biết

• Hướng dẫn cho bản phát hành này

• Hướng dẫn triển khai giảm nhẹ

• Phương tiện có thể khởi động

• Cập nhật phương tiện cài đặt Windows

• Thời gian cập nhật

• Lỗi nhật ký Sự kiện Windows liên quan đến CVE-2023-24932

• Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)

• Khắc phục sự cố khởi động

• Quy trình phục hồi

• Tham khảo

• Nhật ký thay đổi

Tóm tắt

Bài viết này mô tả khả năng bảo vệ chống lại việc công khai tính năng bỏ qua tính năng bảo mật Khởi động An toàn sử dụng bộ khởi động BlackLotus UEFI được theo dõi bởi CVE-2023-24932, cách bật các biện pháp giảm thiểu và hướng dẫn về phương tiện có thể khởi động. Bootkit là một chương trình độc hại được thiết kế để tải càng sớm càng tốt trong trình tự khởi động thiết bị để kiểm soát bắt đầu hệ điều hành.

Khởi động An toàn được Microsoft khuyến nghị để tạo đường dẫn an toàn và đáng tin cậy từ Unified Extensible Firmware Interface (UEFI) thông qua chuỗi Khởi động Tin cậy của nhân Windows. Khởi động An toàn giúp ngăn chặn phần mềm độc hại bootkit theo trình tự khởi động. Việc tắt Khởi động An toàn khiến thiết bị có nguy cơ bị nhiễm phần mềm độc hại bootkit. Việc khắc phục sự cố bỏ qua đường vòng Khởi động An toàn được mô tả trong CVE-2023-24932 yêu cầu phải thu hồi trình quản lý khởi động. Điều này có thể gây ra sự cố cho một số cấu hình khởi động thiết bị.

Mitigations against the Secure Boot bypass detailed in CVE-2023-24932 are included in the Windows security updates that were released on or after April 9, 2024. Tuy nhiên, các biện pháp giảm nhẹ này không được bật theo mặc định. Với các bản cập nhật này, chúng tôi khuyên bạn nên bắt đầu đánh giá những thay đổi này trong môi trường của mình. Lịch biểu đầy đủ được mô tả trong phần Thời gian cập nhật.

Trước khi bạn cho phép các biện pháp giảm nhẹ, bạn nên xem xét kỹ các chi tiết trong bài viết này và xác định xem liệu bạn có phải để cho phép các biện pháp giảm nhẹ hoặc chờ cho một bản cập nhật trong tương lai từ Microsoft. Nếu chọn bật các biện pháp giảm nhẹ, bạn phải xác minh rằng thiết bị của mình đã được cập nhật, sẵn sàng và hiểu các rủi ro được mô tả trong bài viết này. 

Hướng dẫn cho bản phát hành này

Đối với bản phát hành này, hãy làm theo hai bước sau.

Bước 1: Cài đặt bản cập nhật bảo mật Windows

Cài đặt bản cập nhật bảo mật hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024 trên các thiết bị Windows được hỗ trợ. Các bản cập nhật này bao gồm các biện pháp giảm nhẹ cho CVE-2023-24932 nhưng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này dù bạn có dự định triển khai các biện pháp giảm nhẹ hay không.

Bước 2: Đánh giá các thay đổi

Chúng tôi khuyến khích bạn thực hiện các thao tác sau:

• Hiểu rõ hai biện pháp giảm thiểu đầu tiên cho phép cập nhật Secure Boot DB và cập nhật trình quản lý khởi động.

• Xem lại lịch biểu đã cập nhật.

• Bắt đầu kiểm tra hai biện pháp giảm nhẹ đầu tiên đối với các thiết bị đại diện từ môi trường của bạn.

• Bắt đầu lập kế hoạch cho giai đoạn triển khai vào ngày 9 tháng 7 năm 2024.

Bước 3: Thực thi các thay đổi

Chúng tôi khuyến khích bạn hiểu những rủi ro được đề cập trong mục Hiểu về Rủi ro.

• Hiểu rõ tác động của phương tiện khôi phục và các phương tiện có thể khởi động khác.

• Bắt đầu kiểm tra biện pháp giảm nhẹ thứ ba không tin cậy chứng chỉ ký được sử dụng cho tất cả các trình quản lý khởi động Windows trước đây.

Hướng dẫn triển khai giảm nhẹ

Trước khi làm theo các bước sau để áp dụng các biện pháp giảm nhẹ, hãy cài đặt bản cập nhật cung cấp dịch vụ hàng tháng Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024 trên các thiết bị Windows được hỗ trợ. Bản cập nhật này bao gồm các biện pháp giảm nhẹ cho CVE-2023-24932 nhưng chúng không được bật theo mặc định. Tất cả các thiết bị Windows nên hoàn thành bước này bất kể bạn có kế hoạch bật các biện pháp giảm nhẹ hay không.

Để triển khai bản cập nhật và áp dụng thu hồi, hãy làm theo các bước sau:

1. Cài đặt định nghĩa chứng chỉ cập nhật cho DB.

   Bước này sẽ thêm chứng chỉ "Windows UEFI CA 2023" vào UEFI "Cơ sở dữ liệu Chữ ký Khởi động An toàn" (DB). Bằng cách thêm chứng chỉ này vào DB, vi chương trình thiết bị sẽ tin cậy các ứng dụng khởi động được ký bằng chứng chỉ này.

   1. Mở dấu nhắc lệnh Người quản trị và đặt regkey để thực hiện cập nhật thành DB bằng cách nhập lệnh sau:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      QUAN TRỌNG Đảm bảo khởi động lại thiết bị hai lần để hoàn tất quá trình cài đặt bản cập nhật trước khi tiếp tục đến Bước 2 và 3.

   2. Chạy lệnh PowerShell sau với tư cách Người quản trị và xác minh rằng DB đã được cập nhật thành công. Lệnh này sẽ trả về True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

2. Cập nhật Trình quản lý Khởi động trên thiết bị của bạn.

   Bước này sẽ cài đặt ứng dụng trình quản lý khởi động trên thiết bị của bạn được ký bằng chứng chỉ "'Windows UEFI CA 2023".

   1. Mở dấu nhắc lệnh Người quản trị và đặt regkey để cài đặt trình quản lý khởi động đã ký "Windows UEFI CA 2023":

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

   2. Khởi động lại thiết bị hai lần.

   3. Là Người quản trị, gắn phân vùng EFI để chuẩn bị sẵn sàng cho việc kiểm tra:

      mountvol s: /s

   4. Xác thực rằng tệp "s:\efi\microsoft\boot\bootmgfw.efi" được ký bằng chứng chỉ "Windows UEFI CA 2023". Để thực hiện điều này, hãy làm theo các bước sau:

      1. Bấm Bắt đầu, nhập dấu nhắc lệnh vào Tìm kiếm, rồi bấm Dấu nhắc Lệnh.

      2. Trong cửa sổ Dấu nhắc Lệnh, nhập lệnh sau đây, rồi nhấn Enter:

         copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Trong Trình quản lý Tệp, bấm chuột phải vào tệp C:\bootmgfw_2023.efi, bấm Thuộc tính, rồi chọn tab Chữ ký Số .

      4. Trong danh sách Chữ ký, xác nhận rằng chuỗi chứng chỉ bao gồm Windows UEFI CA 2023. Chuỗi chứng chỉ phải khớp với ảnh chụp màn hình sau:
         
         

3. Bật thu hồi.

   Danh sách cấm UEFI (DBX) được sử dụng để chặn không cho tải mô-đun UEFI không đáng tin cậy. Trong bước này, việc cập nhật DBX sẽ thêm chứng chỉ "Windows Production CA 2011" vào DBX. Điều này sẽ khiến tất cả các trình quản lý khởi động được ký bằng chứng chỉ này không còn được tin cậy nữa.

   CẢNH BÁO: Trước khi áp dụng biện pháp giảm nhẹ thứ ba, hãy tạo ổ đĩa flash khôi phục có thể được sử dụng để khởi động hệ thống. Để biết thông tin về cách thực hiện việc này, hãy xem phần Cập nhật Phương tiện cài đặt Windows.

   Nếu hệ thống của bạn chuyển sang trạng thái không thể khởi động, hãy làm theo các bước trong phần Quy trình khôi phục để đặt lại thiết bị về trạng thái thu hồi trước.

   1. Thêm chứng chỉ "Windows Production PCA 2011" vào Danh sách Cấm Khởi động An toàn UEFI (DBX). Để thực hiện điều này, hãy mở cửa sổ Dấu nhắc Lệnh với tư cách Người quản trị, nhập lệnh sau đây, rồi nhấn Enter:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

   2. Khởi động lại thiết bị hai lần và xác nhận rằng thiết bị đã khởi động lại hoàn toàn.

   3. Xác minh việc cài đặt và thu hồi danh sách đã được áp dụng thành công bằng cách tìm kiếm sự kiện 1037 trong nhật ký sự kiện.
      
      Để biết thông tin về Sự kiện 1037, hãy xem bài viết KB5016061: Sự kiện cập nhật biến số Khởi động Bảo mật DB và DBX. Hoặc chạy lệnh PowerShell sau với tư cách Người quản trị và đảm bảo lệnh trả về True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Phương tiện có thể khởi động

Điều quan trọng là cập nhật phương tiện có thể khởi động sau khi Giai đoạn Triển khai bắt đầu trong môi trường của bạn. Hướng dẫn và công cụ cập nhật phương tiện sẽ được cung cấp kịp thời cho Giai đoạn Triển khai. Giai đoạn Triển khai được lên lịch bắt đầu vào ngày 9 tháng 7 năm 2024.

Ví dụ về phương tiện có thể khởi động và phương tiện khôi phục bị ảnh hưởng bởi sự cố này:

• Phương tiện có thể khởi động được tạo bằng cách sử dụng Tạo ổ đĩa khôi phục.

• Sao lưu của Windows đã được hình ảnh trước khi các biện pháp giảm nhẹ được áp dụng. Các tùy chọn này sẽ không thể trực tiếp sử dụng để khôi phục cài đặt Windows của bạn sau khi đã bật thu hồi trên thiết bị của bạn.

• Cd/DVD tùy chỉnh hoặc phân vùng khôi phục do bạn, nhà sản xuất thiết bị (OEM) hoặc doanh nghiệp tạo.

• ISO (thông qua tải xuống hoặc bằng cách sử dụng ADK).

• Khởi động Mạng:

  • Dịch vụ Triển khai Windows.

  • Dịch vụ khởi động môi trường thực thi khởi động trước (dịch vụ khởi động PXE).

  • Bộ công cụ Triển khai Của Microsoft.

  • Khởi động HTTPS.

• Phương tiện cài đặt và phục hồi OEM.

• Phương tiện truyền thông chính thức của Windows từ Microsoft bao gồm:

  • Phương tiện bán lẻ.

  • Công cụ tạo phương tiện (ổ đĩa ISO hoặc USB).

  • VLSC.

  • Tải xuống Người đăng ký Visual Studio.

  • Ổ đĩa USB.

• Windows PE.

• Windows được cài đặt trên phần cứng thực hoặc máy ảo.

• HĐH Xác thực Windows.

Nếu bạn sử dụng phương tiện có thể khởi động với thiết bị Windows cá nhân, bạn có thể cần thực hiện một hoặc nhiều thao tác sau trước khi áp dụng thu hồi:

• Nếu bạn sử dụng phần mềm sao lưu cá nhân để lưu nội dung của thiết bị, hãy đảm bảo chạy bản sao lưu hoàn chỉnh sau khi áp dụng các biện pháp giảm nhẹ ngày 9 tháng 4 năm 2024.

• Nếu bạn sử dụng ảnh đĩa có thể khởi động (ISO), CD-ROM hoặc DVD, hãy cập nhật phương tiện bằng cách làm theo hướng dẫn để được cung cấp sau.

Enterprise

• Xem hướng dẫn toàn diện và lập lệnh cho phương tiện cài đặt Update Windows bằng Cập nhật Động.

• Nếu bạn hỗ trợ các trường hợp khởi động hoặc phục hồi mạng trong môi trường của mình, bạn sẽ cần cập nhật tất cả các phương tiện và hình ảnh. Điều này có thể bao gồm các tùy chọn khởi động hoặc phục hồi sau đây:

  • Bộ công cụ Triển khai Của Microsoft.

  • Microsoft Endpoint Configuration Manager.

  • Dịch vụ Triển khai Windows.

  • Khởi động PxE.

  • Tình huống khởi động HTTPS và khởi động mạng khác.

• Một cách để thực hiện điều này là sử dụng cài đặt gói ngoại tuyến DISM trên các hình ảnh đang được phục vụ bởi các trường hợp này. Điều này bao gồm cập nhật các tệp khởi động đang được các dịch vụ này cung cấp.

• Nếu bạn sử dụng phần mềm sao lưu để lưu nội dung cài đặt Windows của bạn vào một hình ảnh phục hồi, hãy đảm bảo chạy bản sao lưu hoàn toàn sau khi áp dụng các biện pháp giảm nhẹ ngày 9 tháng 4 năm 2024. Hãy nhớ sao lưu phân vùng đĩa EFI ngoài phân vùng hệ điều hành Windows. Xác định rõ ràng các bản sao lưu được thực hiện trước khi áp dụng các biện pháp giảm nhẹ 9 tháng tư năm 2024 so với những người thực hiện sau khi áp dụng các biện pháp giảm nhẹ.

OEM PC chạy Windows

• Xem hướng dẫn toàn diện và lập lệnh cho phương tiện cài đặt Update Windows bằng Cập nhật Động.

Cập nhật phương tiện cài đặt Windows

Bạn có thể sử dụng ứng dụng Tạo Ổ đĩa Khôi phục bằng cách làm theo các bước sau. Phương tiện này có thể được sử dụng để cài đặt lại thiết bị trong trường hợp có sự cố lớn như lỗi phần cứng, bạn sẽ có thể sử dụng ổ đĩa khôi phục để cài đặt lại Windows.

1. Đi tới thiết bị đã áp dụng các bản cập nhật ngày 9 tháng 4 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).

2. Từ Menu Bắt đầu, tìm kiếm applet panel điều khiển "Tạo Ổ đĩa Phục hồi" và làm theo hướng dẫn để tạo ổ đĩa khôi phục.

3. Với ổ đĩa flash mới được tạo được gắn kết (ví dụ: như ổ đĩa "D:"), hãy chạy các lệnh sau với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter:

   COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

   bcdboot c:\windows /f UEFI /s D: /bootex

   COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Nếu bạn quản lý phương tiện có thể cài đặt trong môi trường của mình bằng cách sử dụng phương tiện cài đặt Update Windows bằng hướng dẫn Cập nhật Động, hãy làm theo các bước sau. Các bước bổ sung này sẽ tạo ra ổ đĩa flash có thể khởi động sử dụng tệp khởi động được ký bằng chứng chỉ ký "Windows UEFI CA 2023".

1. Đi tới thiết bị đã áp dụng bản cập nhật ngày 9 tháng 4 năm 2024 và bước giảm thiểu đầu tiên (cập nhật DB Khởi động An toàn).

2. Hãy làm theo các bước trong liên kết bên dưới để tạo phương tiện có bản cập nhật ngày 9 tháng 4 năm 2024. Cập nhật phương tiện cài đặt Windows bằng Bản cập nhật Động

3. Đặt nội dung của phương tiện truyền thông trên ổ đĩa USB ngón cái và gắn ổ đĩa ngón cái dưới dạng chữ cái ổ đĩa. Ví dụ: gắn ổ đĩa ngón cái là "D:".

4. Chạy các lệnh sau từ cửa sổ lệnh với tư cách người quản trị. Nhập từng lệnh sau đây, rồi nhấn Enter.

   COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

   bcdboot c:\windows /f UEFI /s D: /bootex

   COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Nếu thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định sau khi áp dụng các biện pháp giảm thiểu, thiết bị sẽ không khởi động. Để giải quyết sự cố này, một ứng dụng sửa chữa được bao gồm trong các bản cập nhật ngày 9 tháng 4 năm 2024 có thể được sử dụng để áp dụng lại chứng chỉ "Windows UEFI CA 2023" cho DB (giảm nhẹ #1).

1. Chuyển đến thiết bị đã áp dụng bản cập nhật ngày 9 tháng 4 năm 2024.

2. Trong cửa sổ lệnh, sao chép ứng dụng khôi phục vào ổ đĩa flash bằng cách sử dụng các lệnh sau đây (giả sử ổ đĩa flash là ổ đĩa "D:"). Nhập từng lệnh riêng biệt, rồi nhấn Enter:

   md D:\EFI\BOOT

   copy C:\windows\boot\efi\securebootrecovery.efi

   D:\EFI\BOOT\bootx64.efi

3. Trên thiết bị có cài đặt Khởi động An toàn đặt lại về cài đặt mặc định, lắp ổ đĩa flash, khởi động lại thiết bị và khởi động từ ổ đĩa flash.

Thời gian cập nhật

Cập nhật phát hành như sau:

• Triển khai Ban đầu Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 9 tháng 5 năm 2023 và cung cấp các biện pháp giảm thiểu cơ bản với các bước thủ công để cho phép các biện pháp giảm nhẹ đó.

• Triển khai Lần thứ hai Giai đoạn này bắt đầu với các bản cập nhật được phát hành vào ngày 11 tháng 7 năm 2023, thêm các bước được đơn giản hóa để cho phép khắc phục sự cố.

• Giai đoạn Đánh giá Giai đoạn này sẽ bắt đầu vào ngày 9 tháng 4 năm 2024 và sẽ thêm các biện pháp giảm nhẹ trình quản lý khởi động bổ sung.

• Giai đoạn Triển khai Cuối cùng Đây là khi chúng tôi sẽ khuyến khích tất cả các khách hàng bắt đầu triển khai các biện pháp giảm thiểu và cập nhật phương tiện.

• Giai đoạn Thực thi Giai đoạn thực thi sẽ làm cho các biện pháp giảm nhẹ vĩnh viễn. Ngày cho giai đoạn này sẽ được thông báo vào một ngày sau đó.

Lưu ý Lịch phát hành có thể được sửa đổi nếu cần.

Lỗi nhật ký Sự kiện Windows liên quan đến CVE-2023-24932

Các mục nhật ký Sự kiện Windows liên quan đến việc cập nhật DB và DBX được mô tả chi tiết trong KB5016061: Khởi động An toàn DB và sự kiện cập nhật biến DBX.

Các sự kiện "thành công" liên quan đến áp dụng các biện pháp giảm nhẹ được liệt kê trong bảng sau đây.

Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)

Khắc phục sự cố khởi động

Sau khi áp dụng cả ba biện pháp giảm nhẹ, vi chương trình thiết bị sẽ không khởi động bằng cách sử dụng trình quản lý khởi động được ký bởi Windows Production PCA 2011. Các lỗi khởi động được báo cáo bởi vi chương trình là dành riêng cho thiết bị. Vui lòng tham khảo phần Thủ tục khôi phục.

Quy trình phục hồi

Nếu xảy ra sự cố trong khi áp dụng các biện pháp giảm nhẹ và bạn không thể khởi động thiết bị hoặc cần bắt đầu từ phương tiện bên ngoài (chẳng hạn như ổ đĩa ngón cái hoặc khởi động PXE), hãy thử các đề xuất sau:

1. Tắt Khởi động An toàn.
   
   Quy trình này khác nhau giữa các nhà sản xuất thiết bị và kiểu máy. Nhập menu UEFI BIOS của thiết bị của bạn và chuyển đến cài đặt Khởi động An toàn và tắt tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thấy thêm thông tin chi tiết trong mục Tắt Khởi động An toàn.

2. Đặt lại các phím Khởi động An toàn về cài đặt mặc định của nhà sản xuất.

   Nếu thiết bị hỗ trợ đặt lại các phím khởi động an toàn về cài đặt mặc định của nhà sản xuất, hãy thực hiện hành động này ngay.

   Lưu ý Một số nhà sản xuất thiết bị có cả tùy chọn "Xóa" và "Đặt lại" cho các biến Khởi động An toàn, trong trường hợp này, bạn nên sử dụng tùy chọn "Đặt lại". Mục tiêu là đưa các biến Khởi động An toàn trở lại giá trị mặc định của nhà sản xuất.

   Thiết bị của bạn sẽ khởi động ngay bây giờ nhưng lưu ý rằng thiết bị có thể gặp phải phần mềm có hại bộ khởi động. Đảm bảo hoàn tất Bước 5 của quy trình khôi phục này để bật lại Khởi động An toàn.

3. Thử khởi động Windows từ đĩa hệ thống.

   1. Đăng nhập vào Windows.

   2. Chạy các lệnh sau từ dấu nhắc lệnh Người quản trị để khôi phục tệp khởi động trong phân vùng khởi động hệ thống EFI. Nhập từng lệnh riêng biệt, rồi nhấn Enter:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

   3. Chạy BCDBoot trả về "Tệp khởi động đã tạo thành công". Sau khi thông báo này được hiển thị, hãy khởi động lại thiết bị về Windows.

4. Nếu Bước 3 không khôi phục thành công thiết bị, hãy cài đặt lại Windows.

   1. Khởi động thiết bị từ phương tiện phục hồi hiện có.

   2. Tiếp tục cài đặt Windows bằng cách sử dụng phương tiện khôi phục.

   3. Đăng nhập vào Windows.

   4. Khởi động lại Windows để xác minh rằng thiết bị khởi động lại Windows.

5. Bật lại Khởi động An toàn và khởi động lại thiết bị.
   
   Nhập menu UEFI của thiết bị và điều hướng đến cài đặt Khởi động An toàn và bật tính năng này. Kiểm tra tài liệu từ nhà sản xuất thiết bị của bạn để biết chi tiết cụ thể về quy trình này. Bạn có thể tìm thêm thông tin trong mục "Bật lại Khởi động An toàn".

Tham khảo

• Hướng dẫn điều tra các cuộc tấn công bằng cách sử dụng CVE-2022-21894: Chiến dịch BlackLotus

• Khởi động An toàn

• Bật Khởi động An toàn trên các thiết bị Windows đã đăng ký

• Đối với các sự kiện được tạo khi áp dụng các bản cập nhật DBX, hãy xem bài KB5016061: Khắc phục người quản lý Khởi động dễ bị tấn công và bị thu hồi.