今度はセキュアブートのセキュリティ機能のバイパスの脆弱性、5月に対策実装、2024年Q1に強制

（2024/1/19 最新情報：この件、2024年10月に強制施行されます→https://support.microsoft.com/help/5025885）

この前、Windows回復環境のイメージ（winre.wim）のBitLocker バイパスの脆弱性ってのがパッチするのが厄介だということを書きましたが（→ この脆弱性対策パッチはやっかいだ（セキュリティのことではなく、WinRE.wimに対するオフラインパッチが）、2023/3/20）、今度は「セキュアブートのセキュリティ機能のバイパスの脆弱性（CVE-2023-24932）」ってのが公表され、サポートされている Windows 向けに 2023-05 B リリースで対応の一部（ただし、現在は既定では無効の状態）が実装された模様。2023-05 B リリースのどのリリースノートにも書いてないみたいだけど、MSRC からこの脆弱性対策についての説明と今後の予定が出てました。セキュアブートバイパス脆弱性はこれまでも何度かあり対策されてきたはずだけど、今回は対策を一歩進めるみたい。その一歩先の対策は現在は無効にされた状態だけど、2024年第1四半期に強制執行されるそうなので、要注意かも。

Guidance related to Secure Boot Manager changes associated with CVE-2023-24932
https://msrc.microsoft.com/blog/2023/05/guidance-related-to-secure-boot-manager-changes-associated-with-cve-2023-24932/

KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
https://support.microsoft.com/help/5025885

既に、この脆弱性を悪用した攻撃が存在するようで（攻撃者は物理アクセス必要）、2023-05 B のセキュリティ更新で、Windows ブートマネージャーが更新され（更新されたブートマネージャー）ました。また、古いブートマネージャーを失効させるためのコード整合性ブートポリシー（SKUSiPolicy.p7b）と信頼されていないモジュールの読み込みをブロックする禁止された署名リストデータベース（DBX）の更新が、既定では無効な状態で利用可能になっています（初期展開フェーズ）。2023-7 Bで予定されている展開第2フェーズでは、SKUSiPolicy.p7b と DBX の有効化（ブートマネージャーの失効措置）を簡単にできるようにするらしい、そして、2024年第1四半期予定の試フェーズでは、強制実施されるらしいです。このような強制措置はユーザーからのフィードバックで遅延されることがよくありますが、”可能であれば、このスケジュールを早める機会を探しており、最新情報があればここにお知らせします。"だそうです。

コマンドライン操作で今すぐ有効化しても、普段の利用には影響ないですが、トラブルシューティング時やOS展開時に影響が出る可能性があります。例えば、リカバリードライブやシステム修復ディスクなど、外部メディアからの起動、2023-05 B以前のバックアップからリストアすると起動しなくなる、マルチブートシステムでこの問題に対応されていないOS（Linuxもこの脆弱性の影響を受けるらしい）を起動できなくなる、OEM のブートメディアやリカバリツール（リカバリパーティション）、Windows 展開サービスなど PXE ブートが失敗するなど。

というわけで、仮想マシン環境で実験。

ブートマネージャー失効の執行！（再起動したあと、5分くらいしたら、また再起動して失効／執行完了）

リカバリードライブ（RecoveryDrive.exeで作成可能）から起動すると、こんな感じ。20235-05 B 時点では RecoveryDrive.exe に失効対応はまだ行われていない（今後のリリースで）。※ 20235-05 B 後の Windows で作成したリカバリードライブに SKUSiPolicy.p7b を仕込んでおけば、起動可能でした。20235-05 B 前のWindows セットアップ メディア（ISO）からの WinRE の起動も大丈夫（つまり、何とかなる）。

システム修復ディスク（RecDisc.exeで作成可能）から起動すると、こんな感じ。20235-05 B 時点では RecDisc.exe に対応はまだ行われていない（リムーバブルメディアだから、RecDisc.exe が更新されないと、何ともならない）。下は、2023-05 B 後の Windows で作成したシステム修復ディスクのDVDをImgBurnでISO化したもの。

 

4月に取得したシステムイメージをリストアすると、再起動後、起動不能に。フルバックアップを戻したら、戻るんじゃないのと思うかもしれませんが、これがセキュアブートの機能。無効化されたブートマネージャーの情報がハードウェア側の UEFI ROM に書き込まれているから、古いブートマネージャー（失効されたもの）は起動できない。（セキュアブートを無効にすると起動できる。つまり、何とかなる）。

問題があってもセキュアブートをオフにすれば何とかなるので何とかなりますけど、クラウドのインスタンスが起動不能になってしまったら、厄介です。

とりあえず、強制執行／失効される前に、システムのフルバックアップを取得している場合は、20235-05 B 以降に再バックアップしておくことをお勧めします。あとは、周辺環境の対応待ち（RecoveryDrive.exe や RecDisc.exeの 対応、OEMの対応などなど） 

追記）先月もこんなの↓公開されてたけど、ここで語られているのが BlackLotus UEFI ブートキットで、2022年1月のBでも修正（ブートローダーの修正）は入ってたみたいだけど、失効リストの更新が行われていなかった。で、今回のすべてのフェーズが終われば BlackLotus UEFI ブートキットへの追加の軽減策にもなるってことかな？

Guidance for investigating attacks using CVE-2022-21894: The BlackLotus campaign
https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/