Microsoftは、今年後半にBlackLotus UEFIブートキットの緩和策が実施される前に、Windowsユーザーや管理者が新しい「Windows UEFI CA 2023」証明書を利用するようにブータブルメディアを更新するのに役立つPowerShellスクリプトをリリースした。
BlackLotusは、セキュアブートをバイパスし、オペレーティングシステムのブートプロセスを制御することができるUEFIブートキットです。BlackLotusは、BitLocker、Hypervisor-Protected Code Integrity (HVCI)、Microsoft Defender AntivirusといったWindowsのセキュリティ機能を無効にすることができるため、検知されないまま最高の特権レベルでマルウェアを展開することができます。
2023年3月と2024年7月、マイクロソフトは、CVE-2023-24932として追跡されているセキュアブートバイパスに対するセキュリティ更新プログラムをリリースし、BlackLotusが使用する脆弱なブートマネージャを無効にしました。
ただし、この修正プログラムはデフォルトでは無効になっており、更新プログラムを誤って適用したり、デバイス上で競合が発生したりすると、オペレーティングシステムがロードされなくなる可能性がある。その代わりに、段階的に修正プログラムを展開することで、Windows管理者は2026年以前に実施される前にテストすることができる。
このセキュリティ更新プログラムを有効にすると、「Windows UEFI CA 2023」証明書がUEFIの「セキュアブート署名データベース」に追加されます。管理者はこの証明書で署名された新しいブートマネージャーをインストールすることができる。
このプロセスには、Secure Boot Forbidden Signature Database (DBX) を更新して “Windows Production CA 2011” 証明書を追加することも含まれます。この証明書は、古い脆弱なブートマネージャに署名するために使用され、失効すると、これらのブートマネージャが信頼されなくなり、ロードされなくなります。
しかし、緩和策を適用してデバイスのブートに問題が発生した場合、Windows インストールのトラブルシューティングを行うには、まずブータブルメディアを更新して Windows UEFI CA 2023 証明書を使用する必要があります。
Microsoftは、段階的なCVE-2023-24932の修正プログラムの展開に関するサポート情報の中で、「緩和策の適用後にデバイスに問題が発生し、デバイスが起動できなくなった場合、既存のメディアからデバイスを起動したり、リカバリしたりすることができなくなる可能性があります」と説明しています。
「リカバリまたはインストールメディアは、緩和策が適用されたデバイスで動作するように更新する必要があります。
昨日、Microsoftは、Windows UEFI CA 2023証明書を使用するようにブータブルメディアを更新するのに役立つPowerShellスクリプトをリリースした。
ソースは こちら:
「この記事で説明するPowerShellスクリプトは、Windows UEFI CA 2023証明書を信頼するシステムで使用できるように、Windowsブータブルメディアを更新するために使用できます」と、このスクリプトに関する新しいサポート情報は説明しています。
PowerShellスクリプトはMicrosoftからダウンロードでき、ISO CD/DVDイメージファイル、USBフラッシュドライブ、ローカルドライブパス、またはネットワークドライブパスのブータブルメディアファイルを更新するために使用できる。
このユーティリティを使用するには、まずWindows ADKをダウンロードしてインストールする必要があります。
実行すると、スクリプトは Windows UEFI CA 2023 証明書を使用するようにメディアファイルを更新し、この証明書によって署名されたブートマネージャーをインストールします。
Windows管理者は、セキュリティ更新プログラムの実施段階に達する前に、このプロセスをテストすることを強くお勧めする。マイクロソフトによると、これは2026年末までに実施される予定で、開始前には6ヶ月の予告があるとのことだ。
Comments