Dichiarazione di Getac Technology Corporation sull'aggiornamento di sicurezza Microsoft

(Windows Update KB5025885 per le modifiche a Secure Boot associate a CVE-2023-24932)

AGGIORNATO: 31/10/2023

Importante:

Si prega di notare che questa dichiarazione è per informare l'utente di un aggiornamento di sicurezza critico rilasciato da Microsoft. Si consiglia agli utenti di esaminare la guida e di intraprendere le azioni raccomandate da Microsoft e riportate di seguito, che possono essere aggiornate di volta in volta, per attivare le protezioni per l'aggiramento del Secure Boot ed evitare potenziali rischi per la sicurezza e guasti al sistema. Si noti inoltre che Microsoft ha annunciato che i passi raccomandati devono essere completati prima di passare all'applicazione definitiva, prevista provvisoriamente non prima del 9 luglio 2024. I supporti di avvio potrebbero non avviarsi e i dispositivi Getac potrebbero non essere in grado di avviarsi dopo la Final Enforcement di Microsoft se i passaggi richiesti non vengono completati in ordine. Inoltre, si ricorda che il software distribuito da Getac con o senza il marchio Getac (incluso, ma non solo, il software di sistema) non è coperto dalla Garanzia Getac. Getac non è responsabile di eventuali reclami, danni, costi o spese derivanti dalla mancata osservanza delle istruzioni relative a Microsoft Security Update.

Contesto

Poiché la funzionalità di sicurezza Secure Boot è stata aggirata dal bootkit BlackLotus UEFI, catalogato come CVE-2023-24932, Microsoft è intervenuta rilasciando KB5025885 e gli aggiornamenti di sicurezza il 9 maggio 2023, per gestire le revoche di Windows Boot Manager.

Gli aggiornamenti di sicurezza di Microsoft sono suddivisi in quattro fasi¹, di cui quella finale è l'applicazione. La fase finale di applicazione, che implementerà mitigazioni permanenti il 9 luglio 2024


Risk & Impact

  • La vulnerabilità del bootkit UEFI BlackLotus consente agli hacker di assumere il controllo e potenzialmente di manipolare il dispositivo. Si consiglia vivamente a tutti i clienti di applicare gli aggiornamenti di sicurezza di Windows rilasciati il 9 maggio 2023 (1a protezione) e il 9 gennaio 2024 (2a protezione) per implementare le necessarie mitigazioni della sicurezza.
  • Le revoche verranno applicate in modo programmatico nel primo trimestre del 2024.¹ Pertanto, se un dispositivo sostituisce il proprio hard disk su cui è configurato il vecchio Boot Manager, potrebbe non essere in grado di avviarsi dopo la data di applicazione.


Istruzioni dettagliate di Microsoft

Si prega di controllare l'annuncio di Microsoft relativo all'ultimo aggiornamento di sicurezza di CVE-2023-24932.

KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support


Azioni per gli utenti Getac

Si consiglia di aggiornare tutti i supporti di avvio all'ultima versione e di aggiornarli con il nuovo boot manager. Getac consiglia ai clienti di seguire le azioni descritte di seguito in base ai diversi scenari. Getac rilascerà immagini di ripristino avviabili (create da Getac Recovery Media Utility ("GRMU")²) e strumenti per aggiornare il boot manager nella partizione di ripristino.

  • L'immagine delle nuove spedizioni con gli ultimi aggiornamenti di sicurezza³ e il boot manager verranno rilasciati come mostrato nella Tabella A. Per le nuove spedizioni con data 9 gennaio 2024, l'aggiornamento di sicurezza sarà pronto dopo il rilascio di Microsoft. Getac annuncerà lo stato della pianificazione delle immagini dopo il suo rilascio. Per un elenco dettagliato si rimanda alla Tabella A: <Data di implementazione HDI aggiornata>
  • Per i clienti attuali che utilizzano dispositivi Getac (spediti prima del 31 luglio 2023) Assicurarsi che il reparto MIS sia a conoscenza delle informazioni descritte di seguito e confermare che il vecchio boot manager è stato rimosso o aggiornato. Ciò è fondamentale per evitare eventuali problemi con l’avvio dopo la fase di applicazione di Microsoft il 9 luglio 2024.
      • Procedere con l'aggiornamento di Windows per installare la versione più recente degli aggiornamenti di Windows e consultare il reparto MIS per un'azione di mitigazione dettagliata. Assicurarsi di aggiornare tutti gli aggiornamenti rilasciati da Microsoft. Attualmente, sono state annunciate 2 versioni di aggiornamento (versioni del 9 maggio 2023 e 9 gennaio 2024)
      • Partizione di ripristino: Aggiornare il boot manager nella partizione di ripristino utilizzando lo strumento Getac Recovery Partition Patch Tool disponibile sul portale dei servizi Getac. Prima di utilizzare lo strumento Getac Recovery Partition Patch Tool, assicurarsi di aver completato l'aggiornamento di sicurezza Microsoft con una versione rilasciata dopo il 9 maggio. Questo passaggio è fondamentale per fornire un'adeguata facilitazione del boot manager all'interno della partizione di ripristino. Se il cliente decide di ABILITARE le revoche⁹, ripetere questo passaggio ogni volta che si esegue l'aggiornamento di Microsoft per assicurarsi che la partizione di ripristino contenga il boot loader più recente.
  • Scenario di ripristino del sistema tramite immagine di ripristino o sostituzione del disco rigido dopo l'applicazione delle revoche:
    Assicurarsi di utilizzare le immagini di ripristino riportate di seguito per il ripristino del sistema6.
      • Se si utilizza GRMU 8:
        Scaricare l'ultima immagine Windows7 con aggiornamento di sicurezza tramite GRMU² da https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038 per generare supporti di ripristino ed eseguire il ripristino del sistema4.Elenco dei modelli supportati come Tabella A: . Per garantire la sicurezza sono necessarie entrambe le versioni del 9 maggio 2023 e del 9 gennaio 2024. Per progetti di personalizzazione che non sono nell'elenco, contattare il proprio account manager e FAE.

Tabella A: <Data di implementazione dell'immagine aggiornata>

Modelli
(Incluse le varianti di prodotto -EX, -IP)
Versione del sistema operativo supportataNuova spedizione con data di implementazione dell'aggiornamento di sicurezza*
(Versione del 9 maggio 2023)
Data di rilascio dell'immagine di ripristino aggiornata
(Versione del 9 maggio 2023)
Data di rilascio dell'immagine di ripristino aggiornata
(Versione del 9 gennaio 2024)
X500G3, T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-312023-10-17TBD
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)
2023-07-312023-10-17TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17TBD
Windows 11 (22H2)2023-10-192023-10-17TBD
X600 ServerServer 20222023-07-31N/A**N/A

*Per i progetti di personalizzazione, le spedizioni successive al 31-10-2023 verranno fornite con un aggiornamento di sicurezza Microsoft del 9 maggio. Si prega di verificare con la propria SA per i dettagli.

**Il server X600 non è supportato da GRMU. Si prega di verificare con il team di assistenza o il referente commerciale per i dettagli.

FAQ

1In quali circostanze il sistema non si avvia?
  • A partire dal 9 luglio 2024 Microsoft applicherà la revoca tramite un aggiornamento. Il vecchio Boot Manager verrà aggiunto al database delle firme non consentite. Se un dispositivo rientra in uno dei seguenti scenari che comportano l'uso del vecchio Boot Manager, non riuscirà ad avviarsi dopo il 9 luglio 2024.
  • L'utente scambia l’HDD ed esegue l’avvio utilizzando un sistema operativo che non è stato aggiornato con la KB rilasciata il 9 maggio 2023.
  • L'utente utilizza l'immagine originale di GRMU per l'avvio da USB.
  • L'utente avvia il WinPE originale utilizzando un'unità USB.
  • Il dispositivo esegue l'avvio PXE nel sistema operativo originale.
  • La partizione di ripristino non ha il Boot Manager aggiornato o contiene un vecchio Boot Manager.
2Gli utenti possono revocare volontariamente il bootloader disabilitato prima del primo trimestre del 2024?
Dopo aver applicato l'aggiornamento Microsoft del 9 maggio, gli utenti possono seguire le istruzioni di Microsoft per revocare volontariamente in anticipo il vecchio Boot Manager, che verrà revocato il 9 luglio 2024, come previsto da Microsoft.
3Quali scenari dovremmo prevedere in caso di errore di avvio causato dalla “fase finale di applicazione il 9 luglio 2024” o dalla “revoca manuale del vecchio Boot Manager” da parte di un utente?
  • Boot Manager: Se l'utente seleziona il vecchio Boot Manager per l'avvio, comparirà una schermata nera e il sistema tornerà a Boot Manager.
  • Partizione di ripristino: Il sistema si fermerà all'inizio della partizione di ripristino.
  • Avvio del sistema: Il sistema salterà questo dispositivo di avvio con il vecchio Boot Manager e avvierà il dispositivo di avvio successivo.

Se si verificano gli scenari sopra indicati e non sarà possibile avviare il dispositivo, consultare le seguenti FAQ per trovare una soluzione.

4Cosa devo fare se il sistema non si avvia dopo la fase finale di applicazione del 9 luglio 2024?
Disattivare l'avvio protetto secure boot nella configurazione del BIOS, aggiornare all'ultimo aggiornamento di Windows, quindi attivare l'avvio protetto.
5La versione IOT LTSC riceverà il supporto da questo aggiornamento di sicurezza?
Sì, LTSC sarà incluso finché rientrerà nel ciclo di vita di Microsoft. Anche la versione IOT successiva a Win10 21H2 riceverà supporto. Rivolgersi a Microsoft per informazioni dettagliate sullo stato del supporto5.
6Cosa succede se un cliente IOT LTSC disabilita l'aggiornamento di Windows o Internet? Il dispositivo non sarà in grado di avviarsi dopo il 9 luglio 2024?
MSFT invierà gli aggiornamenti cumulativi una volta abilitato il Wi-Fi o Windows Update. Il dispositivo verrà aggiornato a una versione con aggiornamenti di sicurezza. Tuttavia, Getac consiglia vivamente di aggiornare alla versione più recente con aggiornamenti di sicurezza."
7Devo aggiornare entrambe le versioni il 9 maggio 2023 e il 9 gennaio 2024?
Sì, per garantire la sicurezza sono necessarie due serie di protezioni. Prima dell'applicazione definitiva del 9 luglio 2024, assicurarsi di verificare che i dispositivi e tutti i supporti avviabili (inclusi i supporti offline) siano aggiornati e pronti per questa modifica al rafforzamento della sicurezza.

1 Per i dettagli sulle revoche e la tempistica degli aggiornamenti, fare riferimento alle istruzioni di Microsoft.
2 L'immagine GRMU di alcuni modelli Getac verrà aggiornata per incorporare l'aggiornamento Microsoft del 9 maggio.
3 L'aggiornamento della sicurezza Microsoft relativo a CVE-2023-24932 supporta solo la versione successiva a Windows 10 21H2.
4 Dopo il ripristino con le immagini di ripristino di cui sopra, la partizione di ripristino verrà eliminata.
5 Le informazioni relative al supporto della versione sono soggette a modifiche da parte di Microsoft. Per le informazioni più aggiornate, contattare direttamente Microsoft. Microsoft si riserva il diritto di apportare modifiche e tali modifiche non sono correlate a Getac.
6 Una volta che le nuove immagini GRMU con il Boot Manager aggiornato saranno disponibili per il download, le immagini GRMU precedenti non saranno più accessibili. Verranno sostituite dalle nuove immagini contenenti il Boot Manager aggiornato.
7 La Knowledge Base (KB) di Microsoft fornisce aggiornamenti di sicurezza solo per le versioni di Windows 10 successive al 21H2. Tuttavia, il supporto di ripristino originale viene spedito con la stessa versione al momento dell'ordine. Pertanto, se gli aggiornamenti di sicurezza di Microsoft non supportano la versione attuale, Getac offrirà l’ultima versione con funzionalità di aggiornamento, Windows 10 22H2.
8 Se è stato effettuato il downgrade di Windows 10 Pro da Windows 11 Pro tramite una licenza a volume Microsoft, contattare Microsoft per assistenza sul ripristino e ulteriori informazioni.
9 Controllare la pagina di sicurezza di Microsoft per i dettagli sulla revoca automatica.


Esclusione di responsabilità Getac: Tutti i contenuti e le altre informazioni proposte o menzionate nella presente dichiarazione che derivano dal problema qui descritto sono fornite "così come sono". Getac declina espressamente qualsivoglia garanzia, esplicita o implicita, incluse, a titolo esemplificativo, garanzie di commerciabilità, idoneità per uno scopo particolare, non violazione della proprietà intellettuale. Tutti i prodotti, le informazioni e le cifre specificate sono preliminari sulla base delle attuali aspettative e Getac si riserva il diritto di modificare o aggiornare senza preavviso ogni contenuto degli stessi in qualsiasi momento. Le valutazioni di Getac sono state stimate o simulate utilizzando l'analisi interna di Getac o la simulazione o la modellazione dell'architettura e potrebbero non rappresentare il rischio effettivo per l'installazione locale e l'ambiente individuale degli utenti. Si consiglia agli utenti di determinare l'applicabilità della presente dichiarazione agli ambienti specificati e di intraprendere le opportune azioni. L'uso della dichiarazione e tutte le conseguenze di tale uso sono esclusivamente a responsabilità, rischio e spese dell'utente. In nessun caso Getac o alcuna delle sue affiliate sarà ritenuta responsabile per qualsivoglia pretesa, danno, costo o spesa, inclusi, a titolo esemplificativo, perdita di profitti, perdita di dati, perdita di aspettativa commerciale, risarcimento, diretto, indiretto, consequenziale, punitivo, danni speciali o accidentali o interruzione dell'attività derivanti da o in connessione con le informazioni contenute nel presente documento o le azioni che l'utente decide di intraprendere di conseguenza. Getac si riserva il diritto di interpretare la presente esclusione di responsabilità e di aggiornarla ogniqualvolta necessario.