与CVE-2023-24932相关的Secure Boot Manager变更指南

摘要

今日，微软发布CVE-2023-24932及相关配置指南，以解决BlackLotus bootkit利用CVE-2022-21894的Secure Boot绕过漏洞。客户需严格遵循配置指南才能完全防护此漏洞。

此漏洞允许攻击者在启用Secure Boot的情况下，在统一可扩展固件接口（UEFI）级别执行自签名代码。威胁行为者主要将其用作持久化和防御规避机制。成功利用需要攻击者对目标设备具有物理访问或本地管理员权限。

为防护此攻击，2023年5月9日安全更新版本中包含了Windows启动管理器修复（CVE-2023-24932），但默认禁用且不提供保护。客户需仔细遵循手动步骤更新可启动介质并应用撤销，然后才能启用此更新。

我们将分三个阶段强制执行保护措施，以减少对客户和行业合作伙伴现有Secure Boot的影响。

• 2023年5月9日：发布CVE-2023-24932的初始修复。此版本需要2023年5月9日Windows安全更新及额外的客户操作才能完全实施保护。
• 2023年7月11日：第二次发布将提供额外的更新选项，以简化保护的部署。
• 2024年第一季度：最终发布将默认启用CVE-2023-24932的修复，并在所有Windows设备上强制执行启动管理器撤销。

如果这些时间线因任何原因发生变化，本博客将更新。

为何微软采用分阶段方法解决此漏洞？

Secure Boot功能精确控制操作系统启动时允许加载的启动介质，如果未正确启用此修复，可能导致中断并阻止系统启动。下面引用的技术文档提供了实施和测试指南，以限制当前潜在影响，未来的发布计划将使微软能够简化部署而不造成中断。

请遵循Microsoft Windows Secure Boot指南实施CVE-2023-24932的修复。

客户如何知道是否在使用Secure Boot？

从Windows命令提示符输入msinfo32。如果显示Secure Boot State为ON，则系统已启用。

注意：如果未启用Secure Boot，此公开已知漏洞不会带来任何额外风险，且无需额外步骤。我们建议客户使用Secure Boot保护系统免受篡改和bootkit类攻击，并保持系统更新至最新Windows更新。有关Secure Boot好处的更多信息，请参阅：Secure Boot and Trusted Boot。

致谢

我们感谢有机会调查由SentinelOne的Tomer Sne-or和ESET的Martin Smolár报告的发现，这些发现帮助我们强化服务，并感谢他们在Microsoft Bug Bounty计划条款下实践安全研究。我们鼓励所有研究人员与供应商合作，遵循协调漏洞披露（CVD），并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。

参考资料

• 更多信息，请查阅Windows Secure Boot Guidance for CVE-2023-24932
• Microsoft IR Guidance for investigating attacks using CVE-2022-21894: The BlackLotus Campaign
• 访问Security Update Guide获取有关CVE-2022-21894和CVE-2023-24932的信息
• 有任何产品支持相关需求的客户应在https://support.microsoft.com/contactus提交Microsoft支持案例