Transizione del certificato Microsoft Secure Boot (CA 2023) e mitigazione di BlackLotus

Getac si impegna a fornire una sicurezza robusta per le proprie soluzioni informatiche rugged. Questo avviso delinea la nostra strategia proattiva per la transizione alla catena di Secure Boot Certificate Authority (CA) di Microsoft 2023, al fine di garantire l'integrità del sistema, la conformità e la protezione continua contro le minacce in continua evoluzione a livello di avvio.

Importanza:

Microsoft richiede il completamento della transizione del certificato Microsoft Secure Boot (CA 2023) entro giugno 2026. La mancata transizione non impedirà l'avvio, ma non sarà possibile ricevere aggiornamenti DBX, rendendo il sistema vulnerabile ai file binari revocati in futuro.

Inoltre, si prega di tenere presente che il software distribuito da Getac con o senza il marchio Getac (incluso, ma non limitato al software di sistema) non è coperto dalla garanzia Getac. Getac non è responsabile per eventuali reclami, danni, costi o spese derivanti dal mancato rispetto delle istruzioni relative all'aggiornamento di sicurezza Microsoft.

1. Contesto e causa principale: CVE-2023-24932

La transizione alla Secure Boot CA 2023 è essenziale per mantenere l'integrità a lungo termine del sistema. Guidata dalla scadenza della KEK CA 2011 a giugno 2026 e dalla necessità di mitigare la vulnerabilità del bootkit UEFI BlackLotus (CVE-2023-24932), questa azione garantisce che i dispositivi rimangano conformi agli standard di sicurezza Microsoft e mantengano la capacità di ricevere aggiornamenti DBX dopo il 2026.

2. Pianificazione di Getac per l'implementazione della CA 2023

Getac is implementing the new 2023 CA certificates across our product portfolio through two phases: Default in BIOS for new platforms and Windows Update for in-market devices.

Fase A: Nuove piattaforme con Windows 11 Pro (CA 2023 predefinita nel BIOS)

I progetti sviluppati sulle seguenti piattaforme e sulle successive avranno il CA 2023 incorporato come impostazione predefinita nel BIOS di fabbrica

Fase B: Piattaforme già sul mercato con Windows 11 Pro (Windows Update)

Le piattaforme precedenti già presenti sul mercato riceveranno l'aggiornamento CA 2023 tramite i meccanismi standard di Windows Update.

Base tecnica: Sfruttando le linee guida di Microsoft (Windows Secure Boot Key Creation and Management Guidance), i dispositivi già sul mercato riceveranno la nuova CA KEK 2023 tramite i meccanismi standard di Windows Update per mantenere gli aggiornamenti vitali di DB/DBX dopo il 2026.

3. Azioni richieste e piattaforme escluse

⚠️ Avviso di sicurezza e operativo

Sebbene la maggior parte delle piattaforme sia coperta, per garantire la sicurezza a lungo termine del sistema e l'integrità dell'avvio: i sistemi che non completano l'aggiornamento del certificato in tempo non potranno ricevere aggiornamenti DBX dopo il 2026.

Consigliamo vivamente ai clienti di intraprendere le seguenti azioni:

• Aggiornare il BIOS: Mantieni il BIOS della tua piattaforma aggiornato all'ultima versione fornita da Getac.

• Abilitare Windows Update: Assicurati che Windows Update sia abilitato e funzionante per ricevere gli aggiornamenti dei certificati necessari direttamente da Microsoft.

• Evitare di reimpostare Secure Boot: Come precauzione, evita di reimpostare il BIOS alle impostazioni predefinite o di disabilitare Secure Boot.

• Gestire, risolvere i problemi e verificare: Verifica se il DB è stato aggiornato correttamente tramite il supporto Microsoft: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support

Nota importante sulle piattaforme Legacy e Windows 10

• Dispositivi Windows 10: Poiché Windows 10 si avvicina alla fine del supporto, consigliamo vivamente di eseguire l'aggiornamento a Windows 11 per garantire una copertura di sicurezza continua.

• Piattaforme escluse: I dispositivi non coperti dal piano sopra descritto devono passare a Windows 11 o iscriversi al nuovo programma ESU (Extended Security Updates) per i consumatori per gestire autonomamente la manutenzione della sicurezza, poiché Windows 10 ha ufficialmente raggiunto la fine del supporto.

Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.