2024年4月24日、Microsoftは「BlackLotus」UEFIブートキットの脆弱性(CVE-2023-24932)に対する対応として、古いWindowsブートマネージャの信頼を取り消す新たなセキュリティアップデートを発表しました。この記事では、Secure Bootの重要性、既存の脆弱性対応策、そして新たな対策について詳細に説明しています。
Secure Bootのセキュリティ効果
Secure Bootは、システムの起動シーケンス中に信頼されたソフトウェアのみが実行されることを保証するUEFIのセキュリティ機能です。この機能は、プレブート環境をブートキットマルウェアから保護し、Windowsカーネルの信頼できる起動シーケンスを確立します。
BlackLotusマルウェアへの対策
BlackLotusは「Baton Drop」脆弱性を悪用してSecure Bootを回避し、EFIシステムパーティションに悪意のあるファイルをインストールします。このマルウェアはWindowsブートマネージャの以前の脆弱なバージョンにロールバックし、その脆弱性を利用して攻撃を実行します。
過去のWindowsブートマネージャに対する対策
2023年5月の更新プログラムでは、バージョン番号に基づいて脆弱なWindowsブートマネージャをブロックするコード整合性ポリシーを導入しました。しかし、複数のケースでこのロールバック保護を回避する方法が見つかり、Microsoftはより包括的な解決策として、Microsoft Windows Production PCA 2011の信頼を取り消す措置を講じることにしました。
新しいセキュリティ対策
実施する措置
現在の信頼アンカーが2026年に期限切れとなるため、新しい信頼アンカーへの移行を進めています。これにより、Microsoft Windows Production PCA 2011の信頼を取り消すことが可能となります。このPCAは、Secure BootにおいてすべてのWindowsブートマネージャの信頼を認証するために使用されています。
ユーザーが取るべき措置
新しいWindows信頼アンカーを追加した後、Windows Production PCA 2011の信頼を取り消す手順を実行できます。これらの更新は、まずテストデバイスで行うことを強く推奨します。
Secure Boot DBXアップデートの評価ガイドライン
変更点の理解
DBXアップデートを適用することで、Microsoft Windows Production PCA 2011によって署名されたWindowsブートマネージャからの起動が不可能になります。これには、既存のリカバリメディア、USBメディア、および更新されていないブートマネージャコンポーネントを持つネットワークブートサーバー(WSD/PXE/HTTPサーバー)からの起動も含まれます。
デプロイメントの計画
デバイスがDBXアップデートパッケージを受け取る準備をするために、まずDBアップデートパッケージを適用し、Microsoft Windows UEFI CA 2023によって署名された新しいブートマネージャコンポーネントを展開します。
- DBアップデートパッケージが正常に適用されたことを確認します。
- 4月のサービス更新を適用した後、個別のデバイスでテストを開始します。
- UEFIファームウェアのバージョンが最新であることを確認します。
- データバックアップの手順については、ガイドを参照してください。
- BitLockerを使用している場合、BitLocker回復キーをバックアップします。
- サードパーティ製のフルデバイスまたはディスク暗号化を使用している場合、ディスク暗号化プロバイダーと連携してテストを実施します。
- DBXアップデートの適用手順については、詳細なガイドを参照してください。
DBアップデートを適用してからDBXアップデートを適用する理由
DBアップデートを適用する前にDBXアップデートパッケージを適用することで生じるリスクには、デバイスファームウェアがDBおよびDBXアップデートを処理する際に困難を伴う可能性があり、運用上の問題が発生することがあります。また、BitLockerがリカバリモードに入り、Windows HelloやCredential Guardで使用されるVBS保護の秘密が失われる可能性もあります。
継続的な信頼の構築
新しい信頼アンカーを確立するためには、Microsoft Windows Production PCA 2011の信頼を取り消す必要があります。これらの更新は、Microsoftの継続的なセキュリティへの取り組みの一部です。Microsoftは今後もDBXアップデートをリリースし、2025年1月以降に強制的な適用を目指しています。IT管理者および企業ユーザーは、これらの更新を効率的に展開するためのワークフローを構築することをお勧めします。
セキュリティ体験を最大限に活用するために、以下のリソースを確認してください:
- KB5025885: Windowsブートマネージャのリボケーション管理ガイド
- CVE-2022-21894: BlackLotusキャンペーンの調査ガイド
- Microsoft Secure Bootキーの更新
- Azureセキュリティのベストプラクティスとパターン
- Microsoft Entra IDのカスタムセキュリティ属性
- Windowsブートプロセスのセキュリティ保護
- Windowsオペレーティングシステムのセキュリティ
このテーマについての会話を続け、ベストプラクティスを見つけるために、Windows Tech Communityをブックマークし、Twitterで@MSWindowsITProをフォローしてください。サポートが必要な場合は、Microsoft Q&Aをご覧ください。
この記事は以下のページをAIにて要約しています
Revoking vulnerable Windows boot managers
コメント