CVE-2023-24932:Windows安全启动管理器漏洞修复指南

本文详细介绍了针对CVE-2023-24932安全启动绕过漏洞的修复方案,包含分阶段实施计划、安全启动状态检查方法以及实施注意事项,帮助企业有效防御BlackLotus等引导工具包攻击。

CVE-2023-24932 に関連するセキュア ブート マネージャーの変更に関するガイダンス

概要

本日、マイクロソフトは、CVE-2022-21894を悪用するBlackLotusブートキットが使用するセキュアブートバイパスの脆弱性に対処するために、CVE-2023-24932および構成ガイダンスを公開しました。お客様は、この脆弱性から完全に保護するために、構成ガイダンスに厳密に従う必要があります。

この脆弱性は、セキュアブートが有効になっている場合、攻撃者に、Unified Extensible Firmware Interface(UEFI)レベルでの自己署名コードを実行可能とします。これは、主に永続化および防御回避メカニズムとして脅威アクターによって使用されます。悪用の成功は、攻撃者が標的のデバイスに対する物理的なアクセスまたはローカル管理者権限を持っていることに依存します。

この攻撃から保護するために、Windowsブートマネージャー(CVE-2023-24932)の修正プログラムが2023年5月9日(米国時間)のセキュリティ更新プログラムリリースに含まれています。しかし、既定では無効になっており、保護された状態ではありません。お客様は、この更新プログラムを有効にする前に、手動で手順を慎重に実行し、起動可能なメディアを更新した上で、失効を適用する必要があります。

この変更の適用にあたり、セキュアブートを利用しているお客様と業界パートナーへの影響を軽減するために、3つのフェーズで段階的に保護を強制します。

  • 2023年5月9日(米国時間):CVE-2023-24932の初期修正をリリースします。このリリースでは2023年5月9日(米国時間)のWindowsセキュリティ更新プログラムと、完全に保護するためにお客様の追加のアクションが必要です。
  • 2023年7月11日(米国時間):2番目のリリースでは、保護の展開を簡略化するための追加のオプションを提供します。
  • 2024年第1四半期:この最終リリースでは、CVE-2023-24932の修正がデフォルトで有効になり、すべてのWindowsデバイスでブートマネージャーの失効が強制されます。

これらのタイムラインを何らかの理由で変更する場合、このブログを更新します。

なぜマイクロソフトはこの脆弱性に対処するために段階的なアプローチを取っているのですか?

セキュアブート機能は、オペレーティングシステムの起動時にロードできるブートメディアを正確に制御します。この修正が適切に有効になっていないと、システムが起動しない可能性があります。以下のドキュメントで、現時点での潜在的な影響を抑えるための実装とテストのガイダンスを提供しており、今後のリリース計画によって、混乱なく展開の簡素化をすることができます。

Microsoft Windowsセキュアブートガイダンスに従って、CVE-2023-24932の修正プログラムを実装してください。

セキュアブートを使用しているかどうかをお客様はどのようにして知ることができますか?

Windowsコマンドプロンプトから、msinfo32と入力します。Secure Boot StateがOnと表示されている場合、セキュアブートを使用しています。

:セキュアブートが有効になっていない場合、公開されている脆弱性によってもたらされる追加のリスクはなく、追加の手順を実行する必要ありません。セキュアブートを使用して、改ざんやブートキットクラスの悪用からシステムを保護し、最新のWindows更新プログラムでシステムを最新の状態に保つことをお勧めします。セキュアブートの利点の詳細については、「セキュアブートとトラステッドブート」を参照してください。

謝辞

SentinelOne社のTomer Sne-or氏とESET社のMartin Smolár氏からの報告によってサービスを強化することができた機会に感謝します。また、Microsoftバグ報奨金プログラムの条件に基づいて安全なセキュリティ調査を実践してくれたことに感謝します。すべての研究者は、協調脆弱性開示(CVD)の下でベンダーと協力し、セキュリティ調査を実施している間に顧客データに影響を与えないように、侵入テストの契約規則を遵守することをお勧めします。

参照

詳細については、CVE-2023-24932のWindowsセキュアブートガイダンスを参照してください。 CVE-2022-21894を使用した攻撃を調査するために関するガイダンス:The BlackLotus campaign CVE-2022-21894およびCVE-2023-24932の詳細については、セキュリティ更新プログラムガイドを参照してください。 製品に関するサポートが必要なお客様は、https://support.microsoft.com/contactus でMicrosoft宛にサポートケースを起票ください。

更新履歴

  • 2023年5月10日:本ブログを公開いたしました。
  • 2023年5月10日:第2フェーズの日付を修正いたしました。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次