IMPORTANTE Deve aplicar a atualização de segurança do Windows disponibilizada em ou depois de 9 de julho de 2024, como parte do seu processo de atualização mensal regular.
Este artigo aplica-se às organizações que devem começar a avaliar as mitigações de um bypass de Arranque Seguro divulgado publicamente, que é utilizado pelo bootkit UEFI do BlackLotus. Além disso, poderá querer tomar uma posição de segurança proativa ou começar a preparar-se para a implementação. Tenha em atenção que este software maligno requer acesso físico ou administrativo ao dispositivo.
ATENÇÃO Após a mitigação deste problema estar ativada num dispositivo, o que significa que as mitigações foram aplicadas, não poderá ser revertida se continuar a utilizar o Arranque Seguro nesse dispositivo. Mesmo reformatar o disco não removerá as revogações se já tiverem sido aplicadas. Tenha em atenção todas as possíveis implicações e teste minuciosamente antes de aplicar as revogações descritas neste artigo no seu dispositivo.
Neste artigo
Resumo
Este artigo descreve a proteção contra a funcionalidade de segurança de Arranque Seguro divulgada publicamente que utiliza o bootkit UEFI BlackLotus controlado pelo CVE-2023-24932, como ativar as mitigações e orientações sobre suportes de dados de arranque. Um bootkit é um programa malicioso concebido para ser carregado o mais cedo possível numa sequência de arranque de dispositivos para controlar o início do sistema operativo.
O Arranque Seguro é recomendado pela Microsoft para tornar um caminho seguro e fidedigno da Interface de Firmware Extensível Unificada (UEFI) através da sequência de Arranque Fidedigno do kernel do Windows. O Arranque Seguro ajuda a impedir o bootkit de software maligno na sequência de arranque. Desativar o Arranque Seguro coloca um dispositivo em risco de ser infetado por software maligno bootkit. Corrigir o desvio de Arranque Seguro descrito em CVE-2023-24932 requer a revogação dos gestores de arranque. Isto pode causar problemas em algumas configurações de arranque do dispositivo.
As mitigações contra a desativação do Arranque Seguro detalhadas no CVE-2023-24932 estão incluídas nas atualizações de segurança do Windows que foram lançadas a 9 de julho de 2024 ou depois. No entanto, estas mitigações não estão ativadas por predefinição. Com estas atualizações, recomendamos que comece a avaliar estas alterações no seu ambiente. A agenda completa é descrita na secção Temporização das atualizações .
Antes de ativar estas mitigações, deve rever exaustivamente os detalhes neste artigo e determinar se tem de ativar as mitigações ou aguardar uma atualização futura da Microsoft. Se optar por ativar as mitigações, tem de verificar se os seus dispositivos estão atualizados e prontos e compreender os riscos descritos neste artigo.
Tomar Medidas
|
Para esta versão, devem ser seguidos os seguintes passos: Passo 1: instale a atualização de segurança do Windows disponibilizada a 9 de julho de 2024 ou depois de 9 de julho de 2024 em todas as versões suportadas. Passo 2: avalie as alterações e como afetam o seu ambiente. Passo 3: impor as alterações. |
Âmbito do Impacto
Todos os dispositivos Windows com proteções de Arranque Seguro ativadas são afetados pelo bootkit BlackLotus. Estão disponíveis mitigações para versões suportadas do Windows. Para obter a lista completa, consulte CVE-2023-24932.
Compreender os riscos
Risco de Software Maligno: Para que a exploração do bootkit UEFI do BlackLotus descrita neste artigo seja possível, um atacante tem de obter privilégios administrativos num dispositivo ou obter acesso físico ao dispositivo. Isto pode ser feito ao aceder ao dispositivo física ou remotamente, como através de um hipervisor para aceder a VMs/cloud. Normalmente, um atacante utiliza esta vulnerabilidade para continuar a controlar um dispositivo ao qual já pode aceder e manipular. As mitigações neste artigo são preventivas e não corretivas. Se o seu dispositivo já estiver comprometido, contacte o seu fornecedor de segurança para obter ajuda.
Suporte de Dados de Recuperação: Se encontrar um problema com o dispositivo depois de aplicar as mitigações e o dispositivo ficar inotáveis, poderá não conseguir iniciar ou recuperar o dispositivo a partir de suportes de dados existentes. O suporte de dados de recuperação ou instalação terá de ser atualizado para que funcione com um dispositivo que tenha as mitigações aplicadas.
Problemas de Firmware: Quando o Windows aplica as mitigações descritas neste artigo, tem de depender do firmware UEFI do dispositivo para atualizar os valores de Arranque Seguro (as atualizações são aplicadas à Chave de Base de Dados (BD) e à Chave de Assinatura Proibida (DBX)). Em alguns casos, temos experiência com dispositivos que falham nas atualizações. Estamos a trabalhar com os fabricantes de dispositivos para testar estas atualizações principais no maior número possível de dispositivos.
NOTA Primeiro, teste estas mitigações num único dispositivo por classe de dispositivo no seu ambiente para detetar possíveis problemas de firmware. Não implemente amplamente antes de confirmar que todas as classes de dispositivos no seu ambiente foram avaliadas.
Recuperação BitLocker: Alguns dispositivos podem entrar na recuperação do BitLocker. Certifique-se de que mantém uma cópia da chave de recuperação BitLocker antes de ativar as mitigações.
Problemas Conhecidos
Problemas de Firmware:Nem todo o firmware do dispositivo atualizará com êxito a BD de Arranque Seguro ou DBX. Nos casos de que temos conhecimento, reportámos o problema ao fabricante do dispositivo. Veja KB5016061: Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot ) para obter detalhes sobre os eventos registados. Contacte o fabricante do dispositivo para obter atualizações de firmware. Se o dispositivo não tiver suporte, a Microsoft recomenda a atualização do dispositivo.
Problemas de firmware conhecidos:
NOTA Os seguintes problemas conhecidos não têm impacto e não impedirão a instalação das atualizações de 9 de julho de 2024. Na maioria dos casos, as mitigações não se aplicarão quando existirem problemas conhecidos. Veja os detalhes destacados em cada problema conhecido.
-
HP: A HP identificou um problema com a instalação de mitigação em PCs hp Z4G4 Workstation e lançará um firmware UEFI (BIOS) Z4G4 atualizado nas próximas semanas. Para garantir a instalação bem-sucedida da mitigação, esta será bloqueada nas Estações de Trabalho de Ambiente de Trabalho até que a atualização esteja disponível. Os clientes devem sempre atualizar para o BIOS do sistema mais recente antes de aplicar a mitigação.
-
Dispositivos HP com Segurança de Início Seguro: Estes dispositivos precisam das atualizações de firmware mais recentes da HP para instalar as mitigações. As mitigações são bloqueadas até que o firmware seja atualizado. Instalar a atualização de firmware mais recente a partir da página de suporte do HPs — Controladores HP Oficiais e Transferência de Software | Suporte hp.
-
Dispositivos baseados em Arm64: As mitigações são bloqueadas devido a problemas conhecidos de firmware UEFI com dispositivos baseados na Qualcomm. A Microsoft está a trabalhar com a Qualcomm para resolver este problema. A Qualcomm fornecerá a correção aos fabricantes de dispositivos. Contacte o fabricante do dispositivo para determinar se está disponível uma correção para este problema. A Microsoft adicionará a deteção para permitir que as mitigações sejam aplicadas nos dispositivos quando o firmware fixo for detetado. Se o seu dispositivo baseado em Arm64 não tiver firmware Qualcomm, configure a seguinte chave de registo para ativar as mitigações.
Subchave de Registo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nome do Valor da Chave
SkipDeviceCheck
Tipo de Dados
REG_DWORD
Dados
1
-
Apple:Os computadores Mac com o Chip de Segurança T2 da Apple suportam o Arranque Seguro. No entanto, a atualização de variáveis relacionadas com segurança UEFI está disponível apenas como parte das atualizações do macOS. Espera-se que os utilizadores do Campo de Arranque vejam uma entrada de registo de eventos do ID de Evento 1795 no Windows relacionada com estas variáveis. Para obter mais informações sobre esta entrada de registo, veja KB5016061: Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot).
-
VMware:Em ambientes de virtualização baseados em VMware, uma VM com um processador baseado em x86 com o Arranque Seguro ativado não arrancará depois de aplicar as mitigações. A Microsoft está a coordenar com o VMware para resolver este problema.
-
Sistemas baseados no TPM 2.0: Estes sistemas que executam o Windows Server 2012 e o Windows Server 2012 R2 não podem implementar as mitigações lançadas na atualização de segurança de 9 de julho de 2024 devido a problemas de compatibilidade conhecidos com medições de TPM. As atualizações de segurança de 9 de julho de 2024 bloquearão as mitigações n.º 2 (gestor de arranque) e n.º 3 (atualização DBX) nos sistemas afetados.A Microsoft está ciente do problema e será lançada uma atualização no futuro para desbloquear sistemas baseados no TPM 2.0.Para verificar a versão do TPM, clique com o botão direito do rato em Iniciar, clique em Executar e, em seguida, escreva tpm.msc. No canto inferior direito do painel central, em Informações do Fabricante do TPM, deverá ver um valor para a Versão de Especificação.
-
Encriptação de Ponto Final da Symantec: Não é possível aplicar mitigações de Arranque Seguro a sistemas que tenham instalado a Encriptação de Ponto Final da Symantec. A Microsoft e a Symantec estão cientes do problema e serão abordadas numa atualização futura.
Diretrizes para esta versão
Para esta versão, siga estes dois passos.
Passo 1: Instalar a atualização de segurança do Windows Instale a atualização de segurança mensal do Windows lançada a 9 de julho de 2024 em dispositivos Windows suportados. Estas atualizações incluem mitigações para CVE-2023-24932, mas não estão ativadas por predefinição. Todos os dispositivos Windows devem concluir este passo, quer planeie ou não implementar as mitigações.
Passo 2: Avaliar as alterações Recomendamos que faça o seguinte:
-
Compreenda as duas primeiras mitigações que permitem atualizar a BD de Arranque Seguro e atualizar o gestor de arranque.
-
Reveja a agenda atualizada.
-
Comece a testar as duas primeiras mitigações em dispositivos representativos do seu ambiente.
-
Comece a planear a implementação.
Passo 3: Impor as alterações
Recomendamos que compreenda os riscos destacados na secção Compreender os Riscos.
-
Compreenda o impacto na recuperação e noutros suportes de dados de arranque.
-
Comece a testar a terceira mitigação que desconfie do certificado de assinatura utilizado para todos os gestores de arranque anteriores do Windows.
Diretrizes de implementação de mitigação
Antes de seguir estes passos para aplicar as mitigações, instale a atualização de manutenção mensal do Windows disponibilizada em ou depois de 9 de julho de 2024 em dispositivos Windows suportados. Esta atualização inclui mitigações para CVE-2023-24932, mas não estão ativadas por predefinição. Todos os dispositivos Windows devem concluir este passo, independentemente do seu plano para ativar as mitigações.
NOTA Se utilizar o BitLocker, certifique-se de que foi criada uma cópia de segurança da chave de recuperação BitLocker. Pode executar o seguinte comando a partir de uma linha de comandos do Administrador e anotar a palavra-passe numérica de 48 dígitos:
manage-bde -protectors -get %systemdrive%
Para implementar a atualização e aplicar as revogações, siga estes passos:
-
Instale as definições de certificado atualizadas para a BD.
Este passo adicionará o certificado "WINDOWS UEFI CA 2023" à UEFI "Secure Boot Signature Database" (DB). Ao adicionar este certificado à BD, o firmware do dispositivo irá confiar nas aplicações de arranque assinadas por este certificado.
-
Abra uma linha de comandos de Administrador e defina a chave de registo para efetuar a atualização para a BD ao introduzir o seguinte comando:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
IMPORTANTE Certifique-se de que reinicia o dispositivo duas vezes para concluir a instalação da atualização antes de prosseguir para os Passos 2 e 3.
-
Execute o seguinte comando do PowerShell como Administrador e verifique se a BD foi atualizada com êxito. Este comando deve devolver Verdadeiro.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
-
-
Atualize o Gestor de Arranque no seu dispositivo.
Este passo irá instalar uma aplicação de gestor de arranque no seu dispositivo que está assinada com o certificado "MICROSOFT UEFI CA 2023".
-
Abra uma linha de comandos do Administrador e defina a chave de registo para instalar o gestor de arranque assinado ""WINDOWS UEFI CA 2023":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
-
Reinicie o dispositivo duas vezes.
-
Como Administrador, monte a partição EFI para prepará-la para inspeção:
mountvol s: /s
-
Confirme que o ficheiro "s:\efi\microsoft\boot\bootmgfw.efi" está assinado pelo certificado "WINDOWS UEFI CA 2023". Para tal, siga estes passos:
-
Clique em Iniciar, escreva linha de comandos na caixa Procurar e, em seguida, clique em Linha de Comandos.
-
Na janela Linha de Comandos , escreva o seguinte comando e, em seguida, prima Enter:
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
-
No Gestor de Ficheiros, clique com o botão direito do rato no ficheiro C:\bootmgfw_2023.efi, clique em Propriedades e, em seguida, selecione o separador Assinaturas Digitais .
-
Na lista Assinatura, confirme que a cadeia de certificados inclui a AC 2023 do UEFI do Windows. A cadeia de certificados deve corresponder à seguinte captura de ecrã:
-
-
-
Ative a revogação.
A Lista Proibida do UEFI (DBX) é utilizada para bloquear o carregamento de módulos UEFI não fidedignos. Neste passo, atualizar o DBX irá adicionar o certificado "Windows Production CA 2011" ao DBX. Isto fará com que todos os gestores de arranque assinados por este certificado deixem de ser considerados fidedignos.
AVISO: antes de aplicar a terceira mitigação, crie uma pen de recuperação que possa ser utilizada para iniciar o sistema. Para obter informações sobre como fazê-lo, consulte a secção Atualizar suportes de dados de instalação do Windows.
Se o seu sistema entrar num estado não inicializável, siga os passos na secção Procedimento de recuperação para repor o dispositivo para um estado de pré-revogação.
-
Adicione o certificado "Windows Production PCA 2011" à Lista Proibida do UEFI de Arranque Seguro (DBX). Para tal, abra as janelas da Linha de Comandos como Administrador, escreva o seguinte comando e, em seguida, prima Enter:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f
-
Reinicie o dispositivo duas vezes e confirme que foi totalmente reiniciado.
-
Verifique se a lista de instalação e revogação foi aplicada com êxito ao procurar o evento 1037 no registo de eventos.Para obter informações sobre o Evento 1037, veja KB5016061: Secure Boot DB and DBX variable update events (Evento 1037: Eventos de atualização de variáveis DBX e DBX de Arranque Seguro). Em alternativa, execute o seguinte comando do PowerShell como Administrador e certifique-se de que devolve Verdadeiro:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI dbx).bytes) -match "Microsoft Windows Production PCA 2011"
-
-
Aplique a atualização SVN ao firmware. O Gestor de Arranque implementado no Passo 2 tem uma nova funcionalidade de revogação automática incorporada. Quando o Gestor de Arranque começa a ser executado, efetua uma verificação automática ao comparar o Número de Versão Segura (SVN) armazenado no firmware, com a SVN incorporada no Gestor de Arranque. Se a SVN do Gestor de Arranque for inferior à SVN armazenada no firmware, o Gestor de Arranque recusar-se-á a executar. Esta funcionalidade impede que um atacante reverta o Gestor de Arranque para uma versão mais antiga e não atualizada.Em atualizações futuras, quando um problema de segurança significativo for corrigido no Gestor de Arranque, o número SVN será incrementado tanto no Gestor de Arranque como na atualização do firmware. Ambas as atualizações serão lançadas na mesma atualização cumulativa para garantir que os dispositivos corrigidos estão protegidos. Sempre que a SVN for atualizada, qualquer suporte de dados de arranque terá de ser atualizado. A partir das atualizações de 9 de julho de 2024, a SVN está a ser incrementada no Gestor de Arranque e a atualização para o firmware. A atualização de firmware é opcional e pode ser aplicada ao seguir estes passos:
-
Abra uma linha de comandos de Administrador e execute o seguinte comando para instalar o gestor de arranque assinado "UEFI CA 2023 do Windows":
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f
-
Reinicie o dispositivo duas vezes.
-
Suporte de dados de arranque
Será importante atualizar o suporte de dados de arranque assim que a Fase de Implementação começar no seu ambiente.
A documentação de orientação para atualizar suportes de dados de arranque está disponível com atualizações futuras para este artigo. Consulte a secção seguinte para criar uma pen USB para recuperar um dispositivo.
Atualizar o suporte de dados de instalação do Windows
NOTA Ao criar uma pen USB de arranque, certifique-se de que formatar a unidade com o sistema de ficheiros FAT32.
Pode utilizar a aplicação Criar Unidade de Recuperação ao seguir estes passos. Este suporte de dados pode ser utilizado para reinstalar um dispositivo caso exista um problema importante, como uma falha de hardware, poderá utilizar a unidade de recuperação para reinstalar o Windows.
-
Aceda a um dispositivo onde foram aplicadas as atualizações de 9 de julho de 2024 e o primeiro passo de mitigação (atualização da BD de Arranque Seguro).
-
No menu Iniciar , procure o painel de controlo "Criar uma Unidade de Recuperação" e siga as instruções para criar uma unidade de recuperação.
-
Com a pen criada recentemente (por exemplo, como a unidade "D:"), execute os seguintes comandos como administrador. Escreva cada um dos seguintes comandos e, em seguida, prima Enter:
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Se gerir suportes de dados instaláveis no seu ambiente através da documentação de orientação Atualizar o suporte de dados de instalação do Windows com a Atualização Dinâmica , siga estes passos. Estes passos adicionais irão criar uma pen de arranque que utiliza ficheiros de arranque assinados pelo certificado de assinatura "WINDOWS UEFI CA 2023".
-
Aceda a um dispositivo onde foram aplicadas as atualizações de 9 de julho de 2024 e o primeiro passo de mitigação (atualização da BD de Arranque Seguro).
-
Siga os passos na ligação abaixo para criar suportes de dados com as atualizações de 9 de julho de 2024. Atualizar o suporte de dados de instalação do Windows com a Atualização Dinâmica
-
Coloque o conteúdo do suporte de dados numa pen USB e monte a pen USB como uma letra de unidade. Por exemplo, monte a pen como "D:".
-
Execute os seguintes comandos a partir de uma janela de comando como administrador. Escreva cada um dos seguintes comandos e, em seguida, prima Enter.
COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s D: /bootex
COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD
Se um dispositivo tiver as definições de Arranque Seguro repostas para as predefinições depois de aplicar as mitigações, o dispositivo não arrancará. Para resolver este problema, é incluída uma aplicação de reparação com as atualizações de 9 de julho de 2024 que podem ser utilizadas para reaplicar o certificado "WINDOWS UEFI CA 2023" à BD (mitigação n.º 1).
NOTA Não utilize esta aplicação de reparação num dispositivo ou sistema descrito na secção Problemas Conhecidos .
-
Aceda a um dispositivo onde foram aplicadas as atualizações de 9 de julho de 2024.
-
Numa janela de comandos, copie a aplicação de recuperação para a pen com os seguintes comandos (partindo do princípio de que a pen é a unidade "D:"). Escreva cada comando separadamente e, em seguida, prima Enter:
md D:\EFI\BOOT
copy C:\windows\boot\efi\securebootrecovery.efi
D:\EFI\BOOT\bootx64.efi
-
No dispositivo que tem as definições de Arranque Seguro repostas para as predefinições, insira a pen, reinicie o dispositivo e arranque a partir da pen.
Temporização das atualizações
As atualizações são lançadas da seguinte forma:
-
Implementação Inicial Esta fase começou com as atualizações lançadas a 9 de maio de 2023 e forneceu mitigações básicas com passos manuais para ativar essas mitigações.
-
Segunda Implementação Esta fase começou com as atualizações lançadas a 11 de julho de 2023, que adicionaram passos simplificados para ativar as mitigações para o problema.
-
Fase de Avaliação Esta fase começará a 9 de abril de 2024 e adicionará mitigações adicionais do gestor de arranque.
-
Fase de Implementação É nesta altura que iremos incentivar todos os clientes a começarem a implementar as mitigações e a atualizar os suportes de dados.
-
Fase de Imposição A Fase de Imposição que tornará as mitigações permanentes. A data para esta fase será anunciada posteriormente.
Nota A agenda de lançamento pode ser revista conforme necessário.
Esta fase foi substituído pela versão de atualizações de segurança do Windows em ou depois de 9 de abril de 2024.
Esta fase foi substituído pela versão de atualizações de segurança do Windows em ou depois de 9 de abril de 2024.
Com esta fase, pedimos que teste estas alterações no seu ambiente para garantir que as alterações funcionam corretamente com dispositivos de exemplo representativos e para obter experiência com as alterações.
NOTA Em vez de tentar listar exaustivamente e não confiar em gestores de arranque vulneráveis, como fizemos nas fases de implementação anteriores, estamos a adicionar o certificado de assinatura "Windows Production PCA 2011" à Lista de Não Permitir Arranque Seguro (DBX) para desconfiar de todos os gestores de arranque assinados por este certificado. Este é um método mais fiável para garantir que todos os gestores de arranque anteriores não são fidedignos.
As atualizações para o Windows disponibilizadas em ou depois de 9 de abril de 2024, adicionam o seguinte:
-
Três novos controlos de mitigação que substituem as mitigações lançadas em 2023. Os novos controlos de mitigação são:
-
Um controlo para implementar o certificado "AC 2023 do UEFI do Windows" na BD de Arranque Seguro para adicionar confiança aos gestores de arranque do Windows assinados por este certificado. Tenha em atenção que o certificado "WINDOWS UEFI CA 2023" pode ter sido instalado por uma atualização anterior do Windows.
-
Um controlo para implementar um gestor de arranque assinado pelo certificado "WINDOWS UEFI CA 2023".
-
Um controlo para adicionar o "Windows Production PCA 2011" à DBX de Arranque Seguro que irá bloquear todos os gestores de arranque do Windows assinados por este certificado.
-
-
A capacidade de ativar a implementação de mitigação por fases de forma independente para permitir um maior controlo na implementação das mitigações no seu ambiente com base nas suas necessidades.
-
As mitigações são interligadas para que não possam ser implementadas pela ordem incorreta.
-
Eventos adicionais para saber o estado dos dispositivos à medida que aplicam as mitigações. Veja KB5016061: Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot) para obter mais detalhes sobre os eventos.
Esta fase é quando incentivamos os clientes a começar a implementar as mitigações e a gerir quaisquer atualizações de multimédia. As atualizações incluem a seguinte alteração:
-
Foi adicionado suporte para o Número de Versão Segura (SVN) e definição da SVN atualizada no firmware.
Segue-se um destaque dos passos a implementar numa Empresa.
Nota Orientações adicionais para vir com atualizações posteriores para este artigo.
-
Implemente a primeira mitigação em todos os dispositivos na Empresa ou num grupo gerido de dispositivos na Empresa. Isto inclui:
-
Optar ativamente por participar na primeira mitigação que adiciona o certificado de assinatura "WINDOWS UEFI CA 2023" ao firmware do dispositivo.
-
Monitorização de que os dispositivos adicionaram com êxito o certificado de assinatura "WINDOWS UEFI CA 2023".
-
-
Implemente a segunda mitigação que aplica o gestor de arranque atualizado ao dispositivo.
-
Atualize qualquer suporte de dados de arranque externo ou de recuperação utilizado com estes dispositivos.
-
Implemente a terceira mitigação que permite a revogação do certificado "Windows Production CA 2011" ao adicioná-lo ao DBX no firmware.
-
Implemente a quarta mitigação que atualiza o Número de Versão Segura (SVN) para o firmware.
A Fase de Imposição será de, pelo menos, seis meses após a Fase de Implementação. Quando as atualizações forem lançadas para a Fase de Imposição, incluirão o seguinte:
-
O certificado "Windows Production PCA 2011" será automaticamente revogado ao ser adicionado à Lista Proibida de UEFI de Arranque Seguro (DBX) em dispositivos compatíveis. Estas atualizações serão impostas através de programação após a instalação de atualizações do Windows para todos os sistemas afetados sem qualquer opção para serem desativadas.
Erros do Registo de eventos do Windows relacionados com o CVE-2023-24932
As entradas do registo de Eventos do Windows relacionadas com a atualização da BD e do DBX são descritas em detalhe no KB5016061: Eventos de atualização da variável DBX e da BD de Arranque Seguro.
Os eventos de "êxito" relacionados com a aplicação das mitigações estão listados na tabela seguinte.
|
Passo de Mitigação |
ID de Evento |
Notas |
|
Aplicar a atualização da BD |
1036 |
O certificado PCA2023 foi adicionado à BD. |
|
Atualizar o gestor de arranque |
1799 |
Foi aplicado o PCA2023 gestor de arranque assinado. |
|
Aplicar a atualização DBX |
1037 |
A atualização DBX que desconfia do certificado de assinatura PCA2011 foi aplicada. |
Perguntas Mais Frequentes (FAQ)
-
Veja a secção Procedimento de Recuperação para recuperar o dispositivo.
-
Siga a documentação de orientação na secção Resolver Problemas de Arranque .
Atualize todos os sistemas operativos Windows com atualizações lançadas a 9 de julho de 2024 ou depois de 9 de julho de 2024 antes de aplicar as revogações. Poderá não conseguir iniciar qualquer versão do Windows que não tenha sido atualizada para, pelo menos, as atualizações lançadas a 9 de julho de 2024 depois de aplicar as revogações. Siga a documentação de orientação na secção Resolver Problemas de Arranque .
Veja a secção Resolução de problemas de arranque .
Resolver problemas de arranque
Depois de as três mitigações terem sido aplicadas, o firmware do dispositivo não arrancará com um gestor de arranque assinado pelo Windows Production PCA 2011. As falhas de arranque comunicadas pelo firmware são específicas do dispositivo. Veja a secção Procedimento de recuperação .
Procedimento de recuperação
Se algo correr mal ao aplicar as mitigações e não conseguir iniciar o dispositivo ou se precisar de iniciar a partir de suportes de dados externos (como uma pen usb ou um arranque PXE), experimente as seguintes sugestões:
-
Desative o Arranque Seguro.Este procedimento difere entre fabricantes e modelos de dispositivos. Introduza o menu UEFI BIOS dos seus dispositivos, navegue para as definições de Arranque Seguro e desative-o. Consulte a documentação do fabricante do dispositivo para obter informações específicas sobre este processo. Pode encontrar mais detalhes em Desativar o Arranque Seguro.
-
Repor as chaves de Arranque Seguro para as predefinições de fábrica.
Se o dispositivo suportar a reposição das chaves de arranque segura para as predefinições de fábrica, execute esta ação agora.
NOTA Alguns fabricantes de dispositivos têm uma opção "Limpar" e uma opção "Repor" para variáveis de Arranque Seguro. Nesse caso, deve ser utilizada a opção "Repor". O objetivo é voltar a colocar as variáveis de Arranque Seguro nos valores predefinidos dos fabricantes.
O dispositivo deve ser iniciado agora, mas tenha em atenção que está vulnerável a software maligno do kit de arranque. Certifique-se de que conclui o Passo 5 deste processo de recuperação para reativar o Arranque Seguro.
-
Tente iniciar o Windows a partir do disco do sistema.
-
Inicie sessão no Windows.
-
Execute os seguintes comandos a partir de uma linha de comandos do Administrador para restaurar os ficheiros de arranque na partição de arranque do sistema EFI. Escreva cada comando separadamente e, em seguida, prima Enter:
Mountvol s: /s
del s:\*.* /f /s /q
bcdboot %systemroot% /s S:
-
A execução do BCDBoot devolve "Ficheiros de arranque criados com êxito". Depois de esta mensagem ser apresentada, reinicie o dispositivo novamente para o Windows.
-
-
Se o Passo 3 não recuperar o dispositivo com êxito, reinstale o Windows.
-
Inicie o dispositivo a partir do suporte de dados de recuperação existente.
-
Continue a instalar o Windows com o suporte de dados de recuperação.
-
Inicie sessão no Windows.
-
Reinicie o Windows para verificar se o dispositivo recomeça para o Windows.
-
-
Reativar o Arranque Seguro e reiniciar o dispositivo.Introduza o menu UEFI do dispositivo, navegue para as definições de Arranque Seguro e ative-o. Consulte a documentação do fabricante do dispositivo para obter informações específicas sobre este processo. Pode encontrar mais informações na secção "Reativar Arranque Seguro".
Referências
-
Documentação de orientação para investigar ataques com CVE-2022-21894: A campanha BlackLotus
-
Para eventos gerados ao aplicar atualizações DBX, veja KB5016061: Abordar Gestores de Arranque vulneráveis e revogados.
Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.
Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.
|
Data da alteração |
Descrição da alteração |
|
9 de julho de 2024 |
|
|
9 de abril de 2024 |
|
|
16 de dezembro de 2023 |
|
|
15 de maio de 2023 |
|
|
11 de maio de 2023 |
|
|
10 de maio de 2023 |
|
|
9 de maio de 2023 |
|
|
27 de junho de 2023 |
|
|
11 de julho de 2023 |
|
|
25 de agosto de 2023 |
|
