10月のWindows Updateが迫ってきていますが、今月のWindows Updateに注意が必要な点が含まれています。その内容をご報告です。
内容
脆弱性はCVE-2023-24932で解説されているWindowsブートマネージャのアップデートとUEFI禁止リストの更新を実施する長期的な脆弱性対策となります。
内容は…
※参考:KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
簡単に言うとセキュアブート環境で、CVE-2023-24932対策が実施されているブートメディア以外のブートを禁止する、という内容です。
前述のURLによれば、2024年10月が強制フェーズ(強制適用)となるタイミングのWindows Updateだったはずなのですが、その表記は展開フェーズ(2024年7月)から6ヶ月後と記述が変更になっていました。
つまり10月の更新プログラムには含まれるかもしれないし、含まれないかもしれない、という状況に変更されたように読み取れます。
影響
展開フェーズである7月の更新プログラム時点から、徐々に影響する環境の解説が各メーカから公表されています。
--------------------------------------------------------------
※参考にしたURL:
Fujitsu:CVE-2023-24932の脆弱性対応について
https://www.fmworld.net/biz/fmv/support/information/secureboot/
Fujitsu:CVE-2023-24932(セキュア ブートのセキュリティ機能の
バイパスの脆弱性)の対応後、従来の Windows メディアから起動
できなくなる場合の対処について(PDF)
https://jp.fujitsu.com/platform/server/primergy/software/windows/pdf/cve-2023-24932.pdf
HITACHI:Windows環境においてWindows Update KB5025885がOSの再インストールを防止する事象について
https://www.hitachi.co.jp/products/it/ha8000v/support/productinfo/article.html?id=ADV-2024-0011
ドスパラ:セキュアブートのセキュリティ機能バイパスの脆弱性による PC への影響と対処方法
http://faq3.dospara.co.jp/faq/show/15237?category_id=251&site_domain=default
--------------------------------------------------------------
総じてOSインストールメディアやリカバリディスク、Windows回復ドライブといった起動可能なメディアからブートするときに、セキュアブート環境でのブートに失敗するという影響が取り上げられています。
メーカ提供のリカバリメディアであっても、Microsoft謹製のOSインストールメディアでも同様の動きをするようです。
起動時の表示「Press any Key to boot From CD or DVD...」が表示された後にキーを押下してインストールを開始するのですが、このインストール画面が表示されずインストールメディアが使えないという影響があります。
検証の方法
参考:「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える:検証! Microsoft&Windowsセキュリティ(11) - @IT
https://atmarkit.itmedia.co.jp/ait/articles/2403/08/news004.html
にある「現時点で脆弱性緩和策の強制施行をテストするには?」の項を参照して事前に強制フェーズで強制適用された環境とすることで動作の確認が可能になっています。。
やり方としては、以下のレジストリ操作コマンドを実行して検証を実施するという方法があるようです。
--------------------------------------------------------------
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
--------------------------------------------------------------
このレジストリエントリの追加後に、OS再起動、5分以上待ってからもう一回OS再起動と実行して、イベントビューア内のシステムログにイベントID:1035と265が記録されるかどうか、その内容はどうなっているかによって2024年10月の強制以降フェーズで適用となる更新プログラムの動作を先に検証することが可能になっているようです。
注意点として、緩和策に対応していない場合、上記での変更は元に戻すことができないという点と、失効が適用されていたらその失効状態が回復できないという点。このためHyper-Vなどの仮想マシン環境でテストを実施することが推奨されています。
再インストール可能なように、テスト用のWindowsでこの検証専用のゲストOSを用意し、動作検証をやってみたほうが良さそうです。
対策・対処
総じて解説されているメーカサイトの情報には、リカバリディスク(リカバリメディアとなるDVDやUSB)の再作成を推奨されています。更新プログラム適用後のWindows環境でリカバリメディアの再作成を実施することで、CVE-2023-24932対策が実施された状態のリカバリメディアとなるようです。
MicrosoftのWindowsOSメディアの場合には、前述の
KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 - Microsoft サポート
にある「Windows インストール メディアの更新」の項で解説された手順が必要になるようです。
調べた中には含まれていませんでしたが、イメージバックアップのOSリカバリとかも影響を受けそう。2024年10月が強制適用フェーズとならなくなったことで、多少時間の猶予ができたこともあり、早目の検証がいいかもしれません。