Microsoft: 火曜日の最新パッチにより、セキュア ブート バイパスを修正する SafeOS 動的アップデートが提供されます

本日、Microsoft はWindows 10 (KB5028166)およびWindows 11(KB5028185)用の Patch Tuesday アップデートをリリースしました。同社は、健全性ダッシュボード Web サイトで、BlackLotus UEFI ブートキットのセキュリティ欠陥に対する第 2 段階の強化を展開したことを説明する付随発表を行いました。ユーザーを支援するためのガイダンス投稿もMicrosoft によって公開されました。

最新のアップデートでは、WinRE 用の最新の SafeOS 動的更新パッケージが追加され、セキュア ブート DBX 失効ファイルの自動展開が容易になります。Microsoft のセキュア ブート禁止署名データベースまたはセキュア ブート DBX は、基本的に、危険であることが判明したブラックリストに登録された UEFI 実行可能ファイルのブロックリストです。

マイクロソフトは次のように書いています。

Windows 用の 2023 年 7 月 11 日のセキュリティ更新プログラムのリリースにより、「KB5025885 : CVE-2023-24932に関連付けられたセキュア ブート変更の Windows ブート マネージャーの取り消しを管理する方法」の第 2 展開フェーズが開始されます。KB5025885 には、環境が変更に対応できる状態であることを確認する手動の手順と、 BlackLotus UEFI ブートキットを使用してセキュア ブート セキュリティ機能をバイパスできる CVE-2023-24932 によって追跡される脆弱性から保護するためのセキュリティ強化の変更を有効にする手順が含まれています。

2023 年 7 月 11 日以降にリリースされた Windows の更新プログラムの第 2 展開フェーズでは、次のものが追加されます。

• 失効ファイル (コード整合性ブート ポリシーおよびセキュア ブート禁止リスト (DBX)) の簡単な自動展開を可能にします。
• 新しいイベント ログ イベントを使用して、失効の展開が成功したかどうかを報告できるようになります。
• Windows 回復環境 (WinRE) 用の SafeOS 動的更新パッケージ。

Microsoft は、サポート記事 KB5025885の変更ログも更新しました。

2023 年 7 月 11 日

• 「2023 年 5 月 9 日」の日付を「2023 年 7 月 11 日」、「2023 年 5 月 9 日および 2023 年 7 月 11 日」、または「2023 年 5 月 9 日以降」に更新しました。
• 「展開ガイドライン」セクションでは、すべての SafeOS 動的更新が WinRE パーティションの更新に利用できるようになったことが記載されています。さらに、この問題は SafeOS 動的更新のリリースによって解決されるため、「注意」ボックスが削除されました。
• 「3. 「失効を適用する」セクションの手順が改訂されました。
• 「Windows イベント ログ エラー」セクションに、イベント ID 276 が追加されます。

関連ニュースとして、Rufus などのサードパーティ ソフトウェアは、最新のベータ アップデートで、そのような取り消されたすべての UEFI ブートキットの検出と警告を追加しました。また、ZIP64 などのサポートも追加されました。Windows 構成ツールである NTLite にも、このようなブート マネージャーの取り消しが追加されました。