摘要
Microsoft 已於 2020 年 7 月 29 日發佈資訊安全諮詢 200011,其中描述與安全開機相關的新弱點。 在其安全開機設定中信任 Microsoft 協力廠商整合可延伸韌體介面 (UEFI) 憑證授權單位 (CA) 的裝置,可能容易受到擁有其系統管理權限或能夠實際存取該裝置的攻擊者攻擊。
本文提供套用最新安全開機 DBX 撤銷清單的指引,以使易受攻擊的模組無效。 Microsoft 計劃在 2021 年完成進一步測試後,將更新推送到 Windows Update 以解決此弱點。
安全開機更新二進位檔託管於 https://uefi.org/revocationlistfile。
張貼的檔案如下所示:
-
適用於 x86 (32 位元) 的 UEFI 撤銷清單檔案
-
適用於 x64 (64 位元) 的 UEFI 撤銷清單檔案
-
適用於 arm64 的 UEFI 撤銷清單檔案
將這些雜湊新增至裝置上的安全開機 DBX 之後,將不再允許載入這些應用程式。
重要:此網站託管各架構結構的檔案。 每個託管檔案僅包括套用至特定架構的應用程式雜湊。 您必須將其中一個檔案套用至每個裝置,但請務必套用與其架構相關的檔案。 雖然在技術上可以套用其他架構的更新,但未安裝適當的更新會讓裝置處於未受保護的狀態。
警告
在嘗試任何這些步驟之前,請閱讀有關此弱點的主要資訊安全諮詢文章。 不正確地套用 DBX 更新可能會造成裝置無法啟動。
只有在下列情況皆成立時,才執行這些步驟:
-
您已驗證裝置信任安全開機設定中的協力廠商 UEFI CA。
-
您可以從系統管理 PowerShell 工作階段執行下列 PowerShell 命令行,以進行這項動作:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' -
您不依賴啟動此更新所封鎖的任何開機應用程式。
其他相關資訊
在 Windows 上套用 DBX 更新
閱讀警告並驗證裝置相容之後,請按照下列步驟更新安全開機 DBX:
-
從下列網站為您的平台下載適當的 UEFI 撤銷清單檔案 (Dbxupdate.bin):https://uefi.org/revocationlistfile。
-
您必須使用 PowerShell Cmdlet,將 Dbxupdate.bin 檔案分割為必要的元件,以便加以套用。 若要執行這項動作,請依照下列步驟執行:
-
從下列位置下載 PowerShell 指令碼:https://aka.ms/DbxSplitScript。
-
針對 Dbxupdate.bin 檔案執行下列 PowerShell 指令碼: SplitDbxAuthInfo.ps1 “c:\path\to\file\dbxupdate.bin”
-
驗證該指令是否建立下列檔案:
-
Content.bin – 更新內容
-
Signature.p7 – 授權更新程序的簽章
-
-
-
在系統管理 PowerShell 工作階段中,執行 Set-SecureBootUefi Cmdlet 以套用 DBX 更新:
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite -
將裝置重新開機以完成程序
如需有關安全開機設定 Cmdlet 與如何用於 DBX 更新的詳細資訊,請參閱 Set-Secure