Microsoft的Yanked UEFI补丁KB 4524244背后的混乱

记住关于观看香肠的发出警告吗？这是一种电子香肠制作故事，具有许多肮脏的小比特。

一，年表。在2月份的补丁周二，Microsoft发布了一个Bizarre独立的安全补丁，KB 4524244，然后被称为“Windows 10的安全更新，版本1607,1703,1709,1803,1809和1903：2月11日，2020年。“这个名字已经改变了，但与我忍受。

KB 4524244的原始问题

当我当时讨论时，这种补丁都有各种奇怪的标志：

解决了一个问题，其中第三方统一可扩展固件接口（UEFI）引导管理器可能会将启用UEFI的计算机暴露给安全漏洞。

该错误补丁伴随着旧版本的Windows，KB 4502496，名为“Windows 10的安全更新，版本1507，Windows 8.1，RT 8.1，Server 2012 R2和Server 2012：2月11日，2020年。“这次这个名字是正确的。但是，Win8.1 / 1507补丁具有相同的错误，并符合其与其更杰出的共同承诺，KB 4524244相同的命运。

什么是awry.

补丁在许多PC上造成严重破坏，最符合ryzen处理器的HP PC。HP业主启用安全启动（更多关于稍后的）报告说，他们的PC不会正常重启，并且当强制时，HP BIOS表示它检测到安全引导键的未经授权的更改，并且必须还原。

修补程序中有第二个错误，在Windows发布信息状态页面中单独标识：

使用“重置此PC”功能，也称为“按钮重置”或PBR，可能会失败。您可能会在屏幕顶部的“选择一个选项”中重新启动恢复，其中包含各种选项，或者您可能会重新启动到桌面并收到错误“重置PC有问题”。

修补程序内的文件于2019年9月 - 五个月前日期。正如@ abbodi86在askwoody上说：

该补丁是第一次于2019年9月创建的，所以它在测试近5个月，而且仍然不足以实现它。

自2019年4月以来，微软已知UEFI加载器安全问题，如果不是之前。这需要十个月的时间来推动修复 - 以及越野车。

Microsoft授权的rootkits

那么，真的，在KB 4524244中被修补？那么官方描述，甚至现在，物质很少。

它没有长时间为Twitterverse指向卡巴斯基的手指作为错误的UEFI引导经理的来源，但是为什么Microsoft将专门发出单独的Windows补丁（实际上，两个修补程序）来阻止卡巴斯基的产品？卡巴斯基的做法是为了应得这些治疗？

这为我们带来了一个故事的香肠。

像其他防病毒公司一样，卡巴斯基包括创建引导磁盘的能力 - 在这种情况下，“卡巴斯基救援磁盘” - 即使您的PC的内部部门已损害，也会让您启动计算机。要使用卡巴斯基救援磁盘，如其他恢复引导磁盘，您必须对PC进行物理访问。

问题是，旧版本的卡巴斯基救援磁盘允许攻击者使用物理访问您的机器将PC引导到潜在有害的操作系统中，即使您启用了安全启动。安全启动应该使得不可能使用恢复磁盘启动进入尚未预先批准的任何操作系统，但此旧版本的卡巴斯基救援磁盘未遵循安全启动规则。

卡巴斯基于2019年4月播出了安全漏洞，将其插入运行Kaspersky Endpoint Protection的系统，但未向卡巴斯基救援磁盘释放更新到2019年8月。

复杂问题是Microsoft签署了旧的卡巴斯基救援磁盘程序，因此安全的启动继续识别旧卡巴斯基救援磁盘，直到本月早些时候有效。您可以缩小术语，并争辩说每个防病毒制造商都这样做，但您将卡巴斯基救援磁盘程序切片的任何方式都是rootkit，或者更准确地是bootkit。

如果它听起来很奇怪，微软会签署卡巴斯基程序 - rootkit例程，它不是。俄罗斯Blogger Valdiks在2019年4月的帖子中解释了康明语，帖子“利用签名的引导加载程序来规避UEFI安全启动”：

现代PC主板“自2010年以来遵循UEFI规范。2013年，出现了一种称为安全引导的新技术，旨在防止启动Bootkits并运行。安全启动可防止执行无符号或不受信任的程序代码（.efi程序和操作系统引导加载程序，包括视频卡和网络适配器OPROM等附加硬件固件）。

可以在任何零售主板上禁用安全启动，但更改其状态的强制要求是用户在计算机上的物理存在。当计算机靴子时，有必要进入UEFI设置，并且只有它可以更改安全引导设置。

大多数主板仅包括Microsoft键，可信赖，这强制可引导的软件供应商询问Microsoft签署其引导加载程序。此过程包括代码审核程序和理由，需要使用全局可信密钥签署文件，如果希望磁盘或USB闪存在安全引导模式下工作，则无需手动在每台计算机上添加密钥。

所以微软做了，并且有意地做了签名rootkits。呃，bootkits。这样，紧急恢复磁盘可以工作。

撤销UEFI签名

Microsoft可以随时更改其Microsoft批准的UEFI旁路程序的安全许可，但要这样做，因此它必须将无法长的应用程序添加到称为UEFI撤销列表文件的内容，这反过来更新安全启动禁止签名数据库。

还在我这儿？

这是问题。KB 4524244和KB 4502496将旧卡巴斯基救援磁盘例程添加到PC的安全引导禁止签名数据库，因此不会被识别为Microsoft批准的应用程序。但是，由于不清楚的原因，蒙迪费斯的蒙迪斯安全引导限制破坏了其他程序 - 最值得注目的是HP PC与ryzen处理器的引导例程。可能有其他抵押品损坏。

微软的某人可能会知道腹部发生了什么，但他们肯定不是告诉任何人。

卡巴斯基做错了什么？

没有什么。除了在2019年8月之前分发卡巴斯基救援盘计划，可用于邪恶的目的。

卡巴斯基有一个详细的 - 并且据我所知，准确 - 在新发布的常见问题解答中占崩溃。

关键的结论是，“卡巴斯基产品并不是这个问题的原因”，指的是KB 4524244中的错误，戒指是真的。问题在于其他一些冲突，在五个月的测试中取消了。

它看起来好像微软刚刚在带有Ryzen处理器的HP机器上测试其补丁，我们不会在这件事中。但 ...微软。

下一步是什么？

微软已经猛拉了补丁。它不会被推到你的机器上。您甚至无法从更新目录下载它。

如果在PC上安装了KB 4524244或KB 4502496（开始>设置>更新和安全，单击查看更新历史记录），您的机器仍然有效，您将很好。旧的卡巴斯基救援磁盘签名位于您的安全启动禁止签名数据库中，您不再有人从滑动恶意磁盘进入机器的风险。

如果您安装了更新，您的机器无法启动（避免立即安装修补程序的另一个有原因，eh？），Microsoft有用于在KB文章中将PC恢复到健康的详细信息（现在提到Win10版本1909）和在Windows释放信息状态页面上。说明告诉您如何卸载补丁。对于“重置此PC”错误的机器，Microsoft还建议您使用重置此PC的RESET遵循卸载。我不知道为什么卸载补丁并运行重置机器到工作状态，但显然它确实如此。

如果您还没有安装补丁，请享受良好的欢呼。微软将在未来的某个观点上提出合适的修复。作为KB文章和发布信息页面承诺：

我们正在与我们的合作伙伴协调，在协调的情况下，正在进行这种更新版本，并将在未来的更新中释放它。

让我们希望“改进版本”工作比旧的更好 - 并且需要不到十个月来回应问题。与此同时，Valdikss在推文中警告：

至少有2个其他vUln引导加载程序，不会被撤销。

为了快乐。

正如我所能告诉的，微软尚未发布有关此迷彩的任何详细信息，而不是播放修补程序，识别错误并承诺修复。安全，满足默默无闻。

按askwoody.com旁边播放。