Nota: O seguinte artigo irá ajudá-lo com: KB4535680 para Windows 10 para corrigir vulnerabilidade de inicialização segura UEFI
No patch terça-feira, a Microsoft está lançando uma atualização para corrigir um problema na vulnerabilidade de inicialização segura CVE-2020-0689. KB4535680 é o patch de segurança que adiciona as assinaturas dos módulos UEFI vulneráveis conhecidos ao DBX para resolver a vulnerabilidade.
Você pode receber o patch normalmente através da atualização automática do catálogo de atualizações da Microsoft. Os dispositivos não precisarão ser reiniciados para concluir a instalação.
KB4535680 para Windows 10 corrigirá vulnerabilidade de inicialização segura UEFI
A atualização suportará as seguintes versões –
- Windows 10 v1909 x64 bits
- Windows 10 v1809 x64 bits
- Windows 10 v1803 x64 bits
- Windows 10 v1607 x64 bits
- Windows Server 2019 x64 bits
- Windows Server 2016 x64 bits
- Windows 8.1×64 bits
- Windows Server 2012 R2 x64 bits
- Windows Server 2012 x64 bits
O patch de segurança melhora o Secure Boot DBX para as versões suportadas do Windows.
Principais alterações
Dispositivos Windows que possuem firmware baseado em UEFI podem ser executados com inicialização segura habilitada. O Secure Boot Forbidden Signature Database (DBX) impede o carregamento de módulos UEFI. Esta atualização adiciona módulos ao DBX.
Uma vulnerabilidade que tem a capacidade de ignorar os recursos de segurança reside na inicialização segura. Um invasor que explorou com êxito a vulnerabilidade pode ignorar a inicialização segura e carregar software não confiável.
Este patch de segurança aborda a vulnerabilidade adicionando as assinaturas dos módulos UEFI vulneráveis conhecidos ao DBX.
Problemas conhecidos
Questão | Gambiarra |
Alguns firmwares de fabricantes de equipamentos originais (OEM) podem não permitir a instalação desta atualização. | Para resolver esse problema, entre em contato com o OEM do firmware. |
Se a política de grupo do BitLocker Configure o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas estiver habilitado e PCR7 for selecionado por política, isso poderá resultar na necessidade da chave de recuperação do BitLocker em alguns dispositivos em que a associação de PCR7 não é possível.
Para exibir o status de ligação PCR7, execute a ferramenta Microsoft System Information (Msinfo32.exe) com permissões administrativas. Importante A alteração do perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do seu dispositivo. A sensibilidade do BitLocker a modificações de plataforma (maliciosas ou autorizadas) é aumentada ou diminuída, dependendo da inclusão ou exclusão (respectivamente) dos PCRs. Especificamente, definir esta política com PCR7 omitido, substituirá o Permitir inicialização segura para validação de integridade Política de grupo. Isso impede que o BitLocker use a inicialização segura para validação de integridade de plataforma ou dados de configuração de inicialização (BCD). Definir essa política pode resultar na recuperação do BitLocker quando o firmware é atualizado. Se você definir essa política para incluir PCR0, deverá suspender o BitLocker antes de aplicar as atualizações de firmware. Recomendamos não configurar essa política, mas permitir que o Windows selecione o perfil de PCR para a melhor combinação de segurança e usabilidade com base no hardware disponível em cada dispositivo. |
Para solucionar esse problema, siga um destes procedimentos com base na configuração da proteção de credenciais antes de implantar esta atualização:
· Em um dispositivo que não tenha o Credential Gard habilitado, execute o seguinte comando em um prompt de comando do administrador para suspender o BitLocker por 1 ciclo de reinicialização: Manage-bde –Protetores –Desativar C: -RebootCount 1 Em seguida, reinicie o dispositivo para retomar a proteção do BitLocker. Observação Não habilite a proteção do BitLocker sem reiniciar o dispositivo adicionalmente, pois isso resultaria na recuperação do BitLocker. · Em um dispositivo com o Credential Guard habilitado, pode haver várias reinicializações durante a atualização que exijam a suspensão do BitLocker. Execute o seguinte comando em um prompt de comando do administrador para suspender o BitLocker por 3 ciclos de reinicialização. Manage-bde –Protetores –Desativar C: -RebootCount 3 Espera-se que esta atualização reinicie o sistema duas vezes. Reinicie o dispositivo novamente para retomar a proteção do BitLocker. Observação Não habilite a proteção do BitLocker sem reiniciar adicionalmente, pois isso resultaria na recuperação do BitLocker. |
Como baixar KB4535680 e instalar na versão suportada do Windows
1]Através da atualização do Windows
- Clique no ícone Pesquisar, digite atualização e pressione Enter.
- Selecione – Verifique se há atualizações.
2]Do catálogo de atualização da Microsoft
- Acesse o link de download direto KB4535680 – https://www.catalog.update.microsoft.com/Search.aspx?q=KB4535680
- Baixe o arquivo correto e instale clicando duas vezes no mesmo.
Mais uma atualização de hoje – KB4598242 para Windows 10 20H2 e 2004 lançado
Sobre Sunita Adoro jogar com o Windows 10. Sugestão – Indo para a alteração do Registro ou edição de arquivos do sistema, lembre-se de fazer um backup ou criar um ponto de restauração antes de iniciar.