Патч KB4535680 для Windows 10 отметился новым багом — вызывает BitLocker

Microsoft признала наличие проблемы, с которой столкнулись пользователи Windows 10, установившие обновление безопасности под идентификатором KB4535680. Оказалось, что проблемный патч активирует режим восстановления BitLocker.

Изначально разработчики выпустили KB4535680, чтобы устранить уязвимость, позволяющую обойти защитную функцию Secure Boot. Напомним, что Secure Boot блокирует недоверенные загрузчики операционной системы на компьютерах с прошивкой Unified Extensible Firmware Interface (UEFI) и чипом Trusted Platform Module (TPM).

В сущности, этот механизм призван противостоять руткитам, которые пытаются загрузиться одновременно с операционной системой. При этом патч KB4535680 актуален для многих версий ОС: Windows 10 (с 1607 по 1909), Windows 8.1, Windows Server 2012 R2 и Windows Server 2012.

Однако после установки этого апдейта затронутые версии Windows запрашивали ключ восстановления BitLocker после очередной перезагрузки устройства. BitLocker впервые появился в Windows Vista, с тех пор он поставляется с каждой версией ОС и позволяет полностью зашифровать диск. Функция использует алгоритм XTS-AES.

Microsoft уже признала наличие нового бага и даже опубликовала инструкцию, которая поможет затронутым пользователям найти ключ восстановления. Также дополнительную информацию по устранению проблемы и подробности бага можно найти в этой статье.

Читайте также

26 мая в Цифровом деловом пространстве (Москва, улица Покровка, дом 47) впервые пройдет «Форум DLP+» – самое масштабное мероприятие в России по внутренним угрозам корпоративной безопасности. Организаторами мероприятия выступят национальный провайдер сервисов и технологий кибербезопасности «Ростелеком-Солар» и Медиа Группа «Авангард». Форум станет первой площадкой страны для обсуждения, обмена идеями и практическим опытом по этой теме.

По задумке организаторов DLP+ будет наполнен нестандартными дискуссиями и выступлениями ярких спикеров – как популярных экспертов рынка информационной безопасности, так и новых, порой неожиданных персон. Экспрессивный тон мероприятию задаст вводная дискуссия «Этика, право и безопасность», управление которой возьмет на себя медиа-звезда рынка информационной безопасности Олег Седов. Приглашенные эксперты, среди которых будут не только специалисты мира ИБ, но и писатели, и представители сферы бизнес-образования, поговорят о понятии этики в современной цифровой действительности.

Что такое этика? Человек, оценивая свои возможные решения, чувствует, какие из них этичны, а какие – не очень, основываясь на морали. Двадцать первый век породил многообразие технических средств контроля и мониторинга людей, в частности системы защиты от утечек и анализа поведения пользователей. Какие вопросы DLP-этики требуют ревизии и пересмотра?

• Как быть с неприкосновенностью частной жизни сотрудников? Тайной переписки?
• Становится ли администратор ИБ всемогущим, и кто контролирует его?
• Как совместить права сотрудников и компании как работодателя?

Деловая программа «Форума DLP+» сфокусируется как на актуальных технологиях, так и на практических методах защиты компании от внутренних угроз, поможет найти конкретные решения под потребности бизнеса. В фойе «Форума DLP+» будут представлены новейшие разработки ведущих вендоров систем защиты от внутренних корпоративных угроз – с возможностью опробовать любую разработку в действии на интерактивных демонстрационных стендах.

Партнерскую поддержку форуму оказывают ведущие компании российской отрасли информационной безопасности InfoWatch, Гарда Технологии, DeviceLock DLP, StaffCop, InfoSecurity, One Identity и другие.

Microsoft исправляет ошибку безопасной загрузки, позволяющую установить руткит Windows

Microsoft исправляет ошибку безопасной загрузки, позволяющую установить руткит Windows​

Microsoft исправила уязвимость обхода функции безопасности в Secure Boot, которая позволяет злоумышленникам нарушить процесс загрузки операционной системы, даже если безопасная загрузка включена.
Безопасная загрузка блокирует ненадежные загрузчики операционных систем на компьютерах с микропрограммой Unified Extensible Firmware Interface (UEFI) и микросхемой доверенного платформенного модуля (TPM), чтобы предотвратить загрузку руткитов во время процесса запуска ОС.

Руткиты могут использоваться злоумышленниками для внедрения вредоносного кода в прошивку UEFI компьютера, для замены загрузчика операционной системы, для замены частей ядра Windows или маскировки вредоносных драйверов, являющихся законными драйверами Windows.

Уязвимость обхода функции безопасности, отслеживаемая как CVE-2020-0689 , имеет общедоступный код эксплойта, который работает во время большинства попыток эксплуатации, требующих запуска специально созданного приложения.
«Злоумышленник, успешно воспользовавшийся уязвимостью, может обойти безопасную загрузку и загрузить ненадежное программное обеспечение», — объясняет Microsoft.
Затронутые версии Windows включают несколько выпусков Windows 10 (от v1607 до v1909), Windows 8.1, Windows Server 2012 R2 и Windows Server 2012.

Как установить обновление безопасности​

Чтобы заблокировать ненадежные или известные уязвимые сторонние загрузчики при включенной безопасной загрузке, устройства Windows с прошивкой UEFI используют базу данных запрещенных сигнатур безопасной загрузки (DBX).
KB4535680 Обновление безопасности выпущена Microsoft в рамках января 2021 Patch вторника устраняет уязвимость, блокируя известные уязвимые сторонних UEFI модулей (загрузчики) к DBX.
Пользователи должны установить это автономное обновление безопасности в дополнение к обычному обновлению безопасности, чтобы заблокировать атаки, направленные на использование этой уязвимости безопасной загрузки.
Если на компьютере включены автоматические обновления, обновление безопасности будет установлено автоматически без вмешательства пользователя.
Однако в системах, где обновления необходимо устанавливать вручную, вам потребуется сначала загрузить KB4535680 для их платформы из каталога Центра обновления Майкрософт.
Затем вам необходимо убедиться, что определенное обновление стека обслуживания установлено перед развертыванием автономного обновления безопасности (вы можете найти список здесь ).
Если вам также необходимо вручную установить обновления безопасности за январь 2021 года, три обновления следует установить в следующем порядке:

• Обновление стека обслуживания
• Автономное обновление безопасной загрузки, указанное в этом CVE
• Обновление безопасности за январь 2021 г.

В системах, где также включен Credential Guard в Защитнике Windows (виртуальный безопасный режим), для установки автономного обновления KB4535680 потребуется две дополнительных перезагрузки.
Microsoft также выпустила руководство по применению обновлений Secure Boot DBX после раскрытия уязвимости загрузчика BootHole GRUB в июле 2020 года, которая также позволяет обходить безопасную загрузку.
В то время компания добавила, что «планирует выпустить обновление в Центр обновления Windows для устранения» уязвимости BootHole в 2021 году.

KB4535680: обновление системы безопасности для безопасной загрузки DBX: 12 января 2021 г.

Относится к

Это обновление для системы безопасности относится только к следующим версиям Windows:

64-битная версия Windows Server 2012

64-битная версия Windows Server 2012 R2

Windows 8.1 x64-bit

64-битная версия Windows Server 2016

64-битная версия Windows Server 2019

Windows 10 версии 1607 x64-bit

Windows 10 версии 1803 x64-бит

Windows 10 версии 1809 x64-bit

Windows 10 версии 1909 x64-bit

Аннотация

Это обновление для системы безопасности вносит улучшения в DBX secure Boot DBX для поддерживаемых версий Windows, перечисленных в разделе «Применяется к». К основным изменениям относятся следующие:

Устройства с Windows с единым extensible Firmware Interface (UEFI) могут запускаться с включенной безопасной загрузкой. DBX предотвращает загрузку модулей UEFI. Это обновление добавит модули в DBX.

При безопасном загрузке есть функция безопасности, минуя уязвимость. Злоумышленник, который успешно использовал эту уязвимость, может обойти безопасный загрузку и загрузить неподтверченное программное обеспечение.

Это обновление для системы безопасности позволяет решить эту уязвимость, добавив в нее подписи известных уязвимых модулей UEFI.

Дополнительные информацию об этой уязвимости безопасности см. в | Обход уязвимости функции безопасности загрузки Майкрософт.

Известные проблемы

Некоторые изготовители оборудования (OEM) могут не допускает установки этого обновления.

Чтобы устранить эту проблему, обратитесь к OEM-данной программы.

Если политика bitLocker Group Policy configure TPM platform validation profile for native UEFI firmware configurations is enabled and PCR7 is selected by policy, it may result in the BitLocker recovery key required on some devices where PCR7 binding is not possible.

Чтобы просмотреть состояние привязки PCR7, запустите средство Microsoft System Information (Msinfo32.exe) с разрешениями администратора.

Чтобы решить эту проблему, перед развертыванием этого обновления сделайте одно из следующего на основе конфигурации credential guard:

На устройстве, на которое не включено устройство Credential Gard, запустите следующую команду из командной команды администратора, чтобы приостановить BitLocker на 1 цикл перезагрузки:

Затем перезапустите устройство, чтобы возобновить защиту BitLocker.

Примечание Не взимите защиту BitLocker без перезапуска устройства, так как это приведет к восстановлению BitLocker.

На устройстве с включенной службой Credential Guard может быть несколько перезапусков в процессе обновления, которые требуют приостановки BitLocker. Чтобы приостановить BitLocker для 3 циклов перезапуска, запустите следующую команду из командной команды администратора: Manage-bde –Protectors –Disable C: -RebootCount 3

Ожидается, что это обновление перезапустится два раза. Снова перезапустите устройство, чтобы возобновить защиту BitLocker.

Примечание. Не в включаете защиту BitLocker без ее перезапуска, так как это приведет к восстановлению BitLocker.

Восстановление BitLocker можно ввести, если после включения BitLocker в среде настроены конфликтующие параметры групповой политики BitLocker. Восстановление BitLocker может быть активно в связи с одним из параметров групповой политики, которые параметров ниже:

Принудительное принудительное настройка привязки PCR, которая отличается от уже выбранных в BitLocker.

Настройка GP»Разрешитьбезопасную загрузку для проверки целостности данных» для блокировки безопасного загрузки для проверки целостности данных, но BitLocker уже использует безопасную загрузку (PCR7).

Настройка групповой политики так, чтобы требовать дополнительную проверку подлинности во время запуска, но перед развертыванием групповой политики настроен BitLocker.

Если это обновление уже было применено и устройство не было перезапущено, приостановите BitLocker и перезапустите его после следующих действий:

Если явная конфигурация PCR настроена с помощью групповой политики или политика настроена на блокировку с помощью безопасного загрузки для проверки целостности данных, приостановка и возобновление BitLocker для очистки конфликтов GP.

Если в процессе настройки политики запуска требуется дополнительная проверка подлинности, запустите следующую команду из командной команды администратора и введите нужный ПИН-код: manage-bde -protectors -add c: -TPMAndPin

Если в политике запуска требуется дополнительная проверка подлинности, выполните следующую команду для создания ключа запуска: manage-bde -protectors -add c: -tpmandstartupkey

Если при выполнении политики запуска требуется ключ запуска и пин-код, выполните следующую команду из командной команды администратора, чтобы создать ПИН-код и клавишу запуска: При запросе введите нужный ПИН-код: manage-bde -protectors -add c: -tpmandpinandstartupkey

Это обновление может не устанавливаться на устройствах с неподписаным файлом загрузки (не microsoft bootx64.efi). Это обновление может быть предложено и повторно обновлено через Windows Update, но не установить. При попытке установить это обновление вручную может возникнуть ошибка «Некоторые обновления не установлены» со списком KB4565680. Вы также можете проверить файл журнала CBS в папке %systemroot%\logs\cbs на следующее сообщение об ошибке:

onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277): ошибка TRUST_E_NOSIGNATURE возникла в функции Windows:WCP::SecureBoot::BasicInstaller:Install expression: ApplySecureBootUpdate( dwAvailableUpdates)

Мы работаем над решением и оцениваем, что решение будет доступно для Windows 10 версии 1909, Windows 10, версии 2004 и Windows 10 версии 20H2 в конце марта. Остальные поддерживаемые версии Windows должны быть доступны в середине апреля.

Для получения дополнительных инструкций перед выпуском разрешения обратитесь к изготовителю устройства (OEM).

Как получить это обновление

Способ 1. Обновление Windows

Это обновление доступно в Обновлении Windows. Он будет скачит и установлен автоматически.

Способ 2. Каталог обновлений Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

Способ 3: cлужбы Windows Server Update Services

Это обновление также доступно в cлужбы Windows Server Update Services (WSUS).

Предварительные условия

Убедитесь, что установлено последнее обновление стеком обслуживания (SSU). Сведения о последних SSU для вашей операционной системы см. в | Последние обновления стеком обслуживания.

Необходимость перезагрузки

Вашему устройству не нужно перезапускать устройство при применении этого обновления. Если у вас Защитник Windows Credential Guard (виртуальный безопасный режим), устройство будет перезапущено два раза.

Сведения о замене обновлений

Это обновление не заменяет ни одного из ранее выпущенных обновлений.