KB4535680 para Windows 10 para corrigir vulnerabilidade de inicialização segura UEFI

Nota: O seguinte artigo irá ajudá-lo com: KB4535680 para Windows 10 para corrigir vulnerabilidade de inicialização segura UEFI

No patch terça-feira, a Microsoft está lançando uma atualização para corrigir um problema na vulnerabilidade de inicialização segura CVE-2020-0689. KB4535680 é o patch de segurança que adiciona as assinaturas dos módulos UEFI vulneráveis ​​conhecidos ao DBX para resolver a vulnerabilidade.

Você pode receber o patch normalmente através da atualização automática do catálogo de atualizações da Microsoft. Os dispositivos não precisarão ser reiniciados para concluir a instalação.

KB4535680 para Windows 10 corrigirá vulnerabilidade de inicialização segura UEFI

A atualização suportará as seguintes versões –

  • Windows 10 v1909 x64 bits
  • Windows 10 v1809 x64 bits
  • Windows 10 v1803 x64 bits
  • Windows 10 v1607 x64 bits
  • Windows Server 2019 x64 bits
  • Windows Server 2016 x64 bits
  • Windows 8.1×64 bits
  • Windows Server 2012 R2 x64 bits
  • Windows Server 2012 x64 bits

O patch de segurança melhora o Secure Boot DBX para as versões suportadas do Windows.

Principais alterações

Dispositivos Windows que possuem firmware baseado em UEFI podem ser executados com inicialização segura habilitada. O Secure Boot Forbidden Signature Database (DBX) impede o carregamento de módulos UEFI. Esta atualização adiciona módulos ao DBX.

Uma vulnerabilidade que tem a capacidade de ignorar os recursos de segurança reside na inicialização segura. Um invasor que explorou com êxito a vulnerabilidade pode ignorar a inicialização segura e carregar software não confiável.

Este patch de segurança aborda a vulnerabilidade adicionando as assinaturas dos módulos UEFI vulneráveis ​​conhecidos ao DBX.

Problemas conhecidos

Questão Gambiarra
Alguns firmwares de fabricantes de equipamentos originais (OEM) podem não permitir a instalação desta atualização. Para resolver esse problema, entre em contato com o OEM do firmware.
Se a política de grupo do BitLocker Configure o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas estiver habilitado e PCR7 for selecionado por política, isso poderá resultar na necessidade da chave de recuperação do BitLocker em alguns dispositivos em que a associação de PCR7 não é possível.

Para exibir o status de ligação PCR7, execute a ferramenta Microsoft System Information (Msinfo32.exe) com permissões administrativas.

Importante A alteração do perfil de validação de plataforma padrão afeta a segurança e a capacidade de gerenciamento do seu dispositivo. A sensibilidade do BitLocker a modificações de plataforma (maliciosas ou autorizadas) é aumentada ou diminuída, dependendo da inclusão ou exclusão (respectivamente) dos PCRs. Especificamente, definir esta política com PCR7 omitido, substituirá o Permitir inicialização segura para validação de integridade Política de grupo. Isso impede que o BitLocker use a inicialização segura para validação de integridade de plataforma ou dados de configuração de inicialização (BCD). Definir essa política pode resultar na recuperação do BitLocker quando o firmware é atualizado. Se você definir essa política para incluir PCR0, deverá suspender o BitLocker antes de aplicar as atualizações de firmware.

Recomendamos não configurar essa política, mas permitir que o Windows selecione o perfil de PCR para a melhor combinação de segurança e usabilidade com base no hardware disponível em cada dispositivo.

Para solucionar esse problema, siga um destes procedimentos com base na configuração da proteção de credenciais antes de implantar esta atualização:

· Em um dispositivo que não tenha o Credential Gard habilitado, execute o seguinte comando em um prompt de comando do administrador para suspender o BitLocker por 1 ciclo de reinicialização:

Manage-bde –Protetores –Desativar C: -RebootCount 1

Em seguida, reinicie o dispositivo para retomar a proteção do BitLocker.

Observação Não habilite a proteção do BitLocker sem reiniciar o dispositivo adicionalmente, pois isso resultaria na recuperação do BitLocker.

· Em um dispositivo com o Credential Guard habilitado, pode haver várias reinicializações durante a atualização que exijam a suspensão do BitLocker. Execute o seguinte comando em um prompt de comando do administrador para suspender o BitLocker por 3 ciclos de reinicialização.

Manage-bde –Protetores –Desativar C: -RebootCount 3

Espera-se que esta atualização reinicie o sistema duas vezes. Reinicie o dispositivo novamente para retomar a proteção do BitLocker.

Observação Não habilite a proteção do BitLocker sem reiniciar adicionalmente, pois isso resultaria na recuperação do BitLocker.

Como baixar KB4535680 e instalar na versão suportada do Windows

1]Através da atualização do Windows

  1. Clique no ícone Pesquisar, digite atualização e pressione Enter.
  2. Selecione – Verifique se há atualizações.

2]Do catálogo de atualização da Microsoft

  1. Acesse o link de download direto KB4535680 – https://www.catalog.update.microsoft.com/Search.aspx?q=KB4535680
  2. Baixe o arquivo correto e instale clicando duas vezes no mesmo.

Mais uma atualização de hoje – KB4598242 para Windows 10 20H2 e 2004 lançado

Sobre Sunita Adoro jogar com o Windows 10. Sugestão – Indo para a alteração do Registro ou edição de arquivos do sistema, lembre-se de fazer um backup ou criar um ponto de restauração antes de iniciar.