KB4575994 – Lista de revogação do Secure Boot DBX para invalidar módulos vulneráveis

KB4575994 – Lista de revogação do Secure Boot DBX para invalidar módulos vulneráveis

Nota: O seguinte artigo irá ajudá-lo com: KB4575994 – Lista de revogação do Secure Boot DBX para invalidar módulos vulneráveis

O Windows 10 receberá uma atualização na primavera de 2022 para solucionar a possível vulnerabilidade no módulo de configuração de inicialização segura. Atualmente, uma lista de revogação do Secure Boot DBX com um guia para aplicá-la está disponível em KB4575994.

Você deve ter se lembrado que em 29/07/2020, o comunicado de segurança 200011 foi publicado com a descrição de uma nova vulnerabilidade de inicialização segura. Nessa preocupação, os dispositivos que confiam na autoridade de certificação UEFI de terceiros da Microsoft em sua configuração de inicialização segura podem ser suscetíveis a um invasor que tenha direitos administrativos ou acesso físico ao dispositivo.

Revogação de DBX de inicialização segura – KB4575994

Os binários de atualização do Secure Boot estão hospedados nesta página da Web UEFI.

Os arquivos postados são os seguintes:

1]Arquivo de lista de revogação UEFI para x86 (32 bits)
2]Arquivo de lista de revogação UEFI para x64 (64 bits)
3]Arquivo de lista de revogação UEFI para ARM64

Você pode impedir que os aplicativos sejam carregados adicionando esses hashes ao Secure Boot DBX.

Observação: Os arquivos são organizados aqui de acordo com a arquitetura. Cada arquivo hospedado compreende apenas os hashes de aplicativos aplicáveis ​​à arquitetura específica e um usuário deve aplicar um arquivo adequado ao seu dispositivo, respectivamente. Além disso, você deve instalar a atualização nos próximos meses de acordo com as arquiteturas.

Atenção: leia o artigo de aviso principal sobre essa vulnerabilidade antes de tentar qualquer uma dessas etapas. Sua máquina pode não inicializar após a implementação incorreta do método.

Este método é aplicável somente quando as condições abaixo são verdadeiras:

Você já testou se o dispositivo confia na CA de interface de firmware extensível unificada de terceiros em sua configuração de inicialização segura. Por esta, –

  1. Imprensa janelas e X.
  2. Selecione – Windows PowerShell (Administrador).
  3. Clique Sim no prompt do UAC.
  4. Copie e cole o seguinte comando –
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

Se o seu aplicativo de inicialização estiver bloqueado por esta atualização, não confie no aplicativo.

Mais Informações

Implementação de uma atualização DBX no Windows –

Depois que a verificação for concluída com um resultado positivo, siga as etapas para atualizar o Secure Boot DBX:

1. Faça download do arquivo de lista de revogação de UEFI (Dbxupdate.bin) apropriado para sua plataforma nesta página da Web UEFI, conforme indicado em KB4575994.

2. Você precisa dividir o arquivo Dbxupdate.bin nos componentes essenciais para aplicá-los usando os comandos do PowerShell. Para isso, siga os passos:

uma. Navegue até a página da Web Galeria do PowerShell e baixe o script.

b. Execute o script PowerShell abaixo no arquivo Dbxupdate.bin –

SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin

c. Verifique se o comando criou os seguintes arquivos:

Content.bin – atualiza o conteúdo

Signature.p7 – assinatura autorizando o processo de atualização

3. Em uma sessão administrativa do PowerShell, execute o cmdlet Set-SecureBootUefi para aplicar a atualização do DBX:

Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

Saída esperada

4. Reinicie a máquina para executar o processo de instalação da atualização.

Para saber detalhes sobre o comando de configuração Secure Boot e como usá-lo para atualizações do DBX, leia Set-Secure.

Verificação da atualização bem-sucedida

Após concluir com êxito as etapas da seção anterior e reinicializar a máquina, siga estas etapas para garantir que a atualização foi aplicada. Após a verificação bem-sucedida, seu sistema não será mais afetado pela vulnerabilidade do GRUB.

  1. Vá para a página do GitHub e baixe os scripts de verificação de atualização do DBX
  2. Descompacte os scripts e binários do arquivo compactado.

3. Execute o script do PowerShell abaixo na pasta que contém os scripts e binários expandidos para verificar a atualização do DBX

Check-Dbx.ps1 .\dbx-2021-April.bin'

Observação: se uma atualização do DBX que corresponde às versões de julho de 2020 ou outubro de 2020 desse arquivo de lista de revogação foi aplicada, execute o seguinte comando apropriado:

Check-Dbx.ps1 '.\dbx-2020-July.bin'
Check-Dbx.ps1 '.\dbx-2020-October.bin'

4. Por fim, verifique se a saída corresponde ao resultado esperado:

Versões compatíveis –

Windows 10 para 32 bits
Windows 10 para x64 bits
Windows 10 2004 (32 bits)
Windows 10 2004 (ARM64)
Windows 10 2004 para x64 bits
Windows 10 1909 para 32 bits
Windows 10 1909 para ARM64
Windows 10 1909 para x64 bits
Windows 10 1903 para 32 bits
Windows 10 1903 para ARM64
Windows 10 1903 para x64 bits
Windows 10 1809 para 32 bits
Windows 10 1809 para ARM64
Windows 10 1809 para x64 bits
Windows 10 1803 para 32 bits
Windows 10 1803 para ARM64
Windows 10 1803 para x64 bits
Windows 10 1709 para 32 bits
Windows 10 1709 para ARM64
Windows 10 1709 para x64 bits
Windows 10 1607 para 32 bits
Windows 10 1607 para x64 bits
Windows 8.1 32 bits
Windows 8.1×64 bits
WindowsRT 8.1
Windows Server, 2004 (instalação Server Core)
Windows Server, 1909 (instalação Server Core)
Windows Server, 1903 (instalação Server Core)
Servidor Windows 2019
Windows Server 2019 (instalação Server Core)
Servidor Windows 2016
Windows Server 2016 (instalação Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (instalação Server Core)
Servidor Windows 2012
Windows Server 2012 (instalação Server Core)

Ver –

  1. Como instalar o Windows 11 sem TPM e inicialização segura
  2. Como descobrir se a inicialização segura está ativada ou desativada no Windows 10

Fonte – suporte da Microsoft

Isso é tudo!!