m365jp.net

SHD / MC Checker

MC637454 | Take action: July 11, 2023 starts the Second Deployment Phase to address CVE-2023-24932 for devices using Secure Boot

MC637454 | Take action: July 11, 2023 starts the Second Deployment Phase to address CVE-2023-24932 for devices using Secure Boot
Classification preventOrFixIssue
Last Updated 07/11/2023 16:56:40
Start Time 07/11/2023 16:56:32
End Time 07/11/2024 16:56:32
Message Content
The release of the July 11, 2023 security updates for Windows starts the Second Deployment Phase in KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932. KB5025885 contains the manual steps to verify your environment is ready for the changes and steps to enable the security hardening changes to protect against vulnerabilities tracked by CVE-2023-24932 that can bypass the Secure Boot security feature using the BlackLotus UEFI bootkit.
The Second Deployment Phase in updates for Windows released July 11, 2023 and later add the following:
  • Allow easier, automated deployment of the revocation files (Code Integrity Boot policy and Secure Boot disallow list (DBX)).
  • New Event Log events will be available to report whether revocation deployment was successful or not.
  • SafeOS dynamic update package for Window Recovery Environment (WinRE).
  
When will this happen: 
Updates released July 11, 2023 and later start the Second Deployment Phase, containing the additional Event Log events to aid in getting your environment ready to enable protections required to address CVE-2023-24932. The security hardening for CVE-2023-24932 will be done in phases, as steps must be taken to prevent issues on your organization’s devices when the revocations are applied/enabled. The security hardening changes to protect against vulnerabilities tracked by CVE-2023-24932 have been in updates released May 9, 2023 and later.
  
What you need to do to prepare: 
For information on how to enable the revocations and what is required before you should enable the revocations, see KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932
Machine Translation
2023年7月11日のWindows用セキュリティ更新プログラムのリリースにより、 KB5025885の第2展開フェーズが開始されます:CVE-2023-24932に関連するセキュアブートの変更に対するWindowsブートマネージャーの失効を管理する方法 KB5025885 には、環境が変更の準備ができていることを確認するための手動の手順と、BlackLotus UEFIブートキットを使用してセキュアブートセキュリティ機能をバイパスできる CVE-2023-24932 によって追跡された脆弱性から保護するためのセキュリティ強化の変更を有効にする手順が含まれています。
2023 年 7 月 11 日以降にリリースされた Windows 用の更新プログラムの第 2 展開フェーズでは、以下が追加されます。
  • 失効ファイル (コード整合性ブート ポリシーとセキュア ブート禁止リスト (DBX)) の展開を容易にします。
  • 新しいイベント ログ イベントを使用して、失効の展開が成功したかどうかを報告できます。
  • ウィンドウ回復環境 (WinRE) 用の SafeOS 動的更新プログラム パッケージ。
  
これはいつ起こりますか: 
2023 年 7 月 11 日にリリースされた更新プログラム以降では、 CVE-2023-24932 に対処するために必要な保護を有効にするために環境を準備するのに役立つ追加のイベント ログ イベントを含む、第 2 展開フェーズが開始されます。 CVE-2023-24932 のセキュリティ強化は段階的に行われます, 失効が適用/有効 になったときに組織のデバイスでの問題を防ぐための手順を実行する必要があるため. CVE-2023-24932 によって追跡された脆弱性から保護するためのセキュリティ強化の変更は、2023年5月9日以降にリリースされた更新プログラムに含まれています。
  
準備するために必要なこと: 
失効を有効にする方法と、失効を有効にする前に必要なものについては、「 KB5025885: CVE-2023-24932 に関連するセキュア ブートの変更に対する Windows ブート マネージャーの失効を管理する方法」を参照してください。 
Post Views: 84

m365jp.net