Misc.

2024/01/19

セキュアブート関連のセキュリティ対策、2024-04B に第3フェーズ、2024-10 B に強制施行フェーズへ

22023-05 B から開始されている CVE-2023-24932 のぜい弱性に対応したセキュアブート環境のセキュリティ強化策が、2024-04 B に第 3 フェーズに移行し、追加のぜい弱なブートマネージャーのブロック(それに伴い起動可能メディアの更新が必要に)が行われ、2024-10 B に強制施行(現在は無効にされている更新された SKUSiPolicy.p7b と DBX の強制)が始まるみたいです。

Reminder: Changes to Windows Boot Manager revocations for Secure Boot effective April 9, 2024
https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3233

KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
https://support.microsoft.com/help/5025885

こちらの件です。以前は 2024 Q1 に強制施行だったんですが、(フェーズが一つ追加されたのかな)10月実施に。

今度はセキュアブートのセキュリティ機能のバイパスの脆弱性、5月に対策実装、2024年Q1に強制 (2023/05/31)

今月の WinRE の更新問題(未解決、回避策あり)も騒動になりましたが、この強制施行も騒動を引き起こしそう。この強制施行に備えるためにも WinRE の更新は必要っぽい。強制施行されても通常の Windows の使用には影響はないと思いますが、WinRE 使用時、古いバックアップからの復元時、古いメディアからの再インストール時、デュアル/マルチブート環境とかで問題が初めて顕在化してくる種の変更が行われます。とりあえず、回復ドライブを最新にしておいた(2/15 追記:回復ドライブはまだ対応されてないらしい → "NOTE The “Create a recovery drive” functionality is not supported in the updates released on or after May 9, 2023, and cannot be used to restore devices with revocation enabled. We are working on a resolution and will provide an update in an upcoming release.")。念のため、手動で強制施行(reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f を実行して再起動、5分後再起動)したデバイスを起動できることも確認した。


 

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。