Microsoft が、WDAC UEFI ロックを使用して脆弱な Windows ブート マネージャーをブロックするためのガイドを共有

Microsoft は今週初めに、Windows 10、Windows 11、およびServerに対して 2023 年 5 月のパッチ チューズデー更新プログラムをリリースしました。それと並行して、テクノロジー大手は、重大なセキュリティバグに関するガイダンス文書も公開しました。レドモンドの巨人は、セキュア ブート、VBS、BitLocker、Defender などの対策をバイパスすることが知られている BlackLotus UEFI のセキュリティ上の欠陥にパッチを適用しました。Microsoft は、 BlackLotus UEFI ブートキットによって侵害されたシステムを検出する方法に関するガイドを以前に公開していました。ブートキットは本質的には悪意のある Windows ブート マネージャーです。

この問題は CVE-2023-24932 で追跡されており、Microsoft は、Patch Tuesday がセキュリティ修正の最初の展開段階を示すものであると述べました。見逃した方のために、同社はKB5025885 のサポート記事にもいくつかの変更を加えました。

これに続き、Microsoft は本日初めに、脆弱な Windows ブート マネージャーまたはブートキットをブロックする方法を概説したガイダンス記事も公開しました。同社は、セキュア ブート DBX リストには脆弱な UEFI アプリケーション バイナリの一部がすでに含まれているが、ファームウェア フラッシュ メモリ上にあるためストレージの点で制限があると説明しています。したがって、DBX または UEFI 失効リストには、限られた数のそのようなファイルしか保持できません。知らない人のために説明すると、セキュア ブート禁止署名データベース (DBX) は基本的に、不正または有害であることが判明したブラックリストに登録された UEFI 実行可能ファイルのブロックリストです。

したがって、Microsoft は、セキュア ブート DBX だけに依存するのではなく、 Windows 10 および Windows 11 で利用できるWindows Defender Application Control (WDAC)ポリシーを使用することをお勧めします。UEFI ロック ポリシーの作成方法の詳細については、公式サポート記事 ( KB5027455)。