Заявление Getac Technology Corporation в отношении обновления для системы безопасности Microsoft

(Центр обновления Windows, KB5025885, изменения безопасной загрузки, связанные с уязвимостью CVE-2023-24932)

Обновлено: 31.10.2023

Важность

В данном заявлении рассказывается о критически важном обновлении для системы безопасности, выпущенном корпорацией Microsoft. Пользователям следует изучить инструкции и выполнить действия, рекомендованные корпорацией Microsoft и описанные ниже (время от времени перечень действий может изменяться). Это обеспечит защиту от атак, связанных с обходом функции безопасной загрузки, и позволит предотвратить угрозы безопасности и отказы систем. Корпорация Microsoft объявила, что рекомендованные ею действия необходимо выполнить до этапа принудительного обновления, который начнется не ранее 9 июля 2024 г. Если не выполнить эти действия заблаговременно, то после начала этапа принудительного обновления устройства Getac могут перестать запускаться с загрузочных носителей. Кроме того, имейте в виду, что на программное обеспечение, распространяемое компанией Getac под товарным знаком Getac или без него (включая, в частности, системное программное обеспечение), гарантийные обязательства компании Getac не распространяются. Компания Getac не несет ответственности ни за какие претензии, убытки, издержки или расходы, возникшие в результате невыполнения инструкций, связанных с обновлением для системы безопасности Microsoft.

Общие сведения

После появления информации о том, что функцию безопасной загрузки можно обойти с помощью буткита UEFI BlackLotus (уязвимость с кодом CVE-2023-24932), корпорация Microsoft выпустила обновления для системы безопасности KB5025885 от 9 мая 2023 г. для управления отзывом диспетчера загрузки Windows.

Процесс обновления системы безопасности Microsoft разбит на четыре этапа ¹, причем последний этап будет выполнен принудительно. На этапе принудительного обновления, который начнется 9 июля 2024 г., будут окончательно реализованы необходимые меры защиты.


Риски и последствия

  • Используя буткит UEFI BlackLotus, злоумышленники могут получить контроль над устройством и манипулировать им. Для предотвращения возможных угроз всем заказчикам настоятельно рекомендуется установить обновления для системы безопасности ОС Windows, выпущенные 9 мая 2023 г (первый пакет защиты) и 9 января 2024 г. (второй пакет защиты).
  • Незащищенное программное обеспечение будет принудительно отозвано программным путем 9 июля 2024 г. ¹ Поэтому если в устройство установить жесткий диск со старым диспетчером загрузки, то после даты принудительного обновления это устройство, возможно, не запустится.


Подробные инструкции от Microsoft

Прочитайте объявление корпорации Microsoft о последнем обновлении для системы безопасности, связанном с уязвимостью CVE-2023-24932.

KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support


Инструкции для пользователей Getac

Рекомендуется обновить программное обеспечение всех загрузочных носителей до последней версии и установить на них новый диспетчер загрузки. Компания Getac предлагает своим заказчикам выполнить указанные ниже действия (в зависимости от конкретного сценария). Компания Getac выпустит загрузочные образы для восстановления системы, созданные с помощью Getac Recovery Media Utility (GRMU) ², и средства для обновления диспетчера загрузки в разделе восстановления.

  • Образы для новых партий с последними обновлениями для системы безопасности ³ и диспетчером загрузки будут выпущены согласно табл. A. Для новых партий, которые планируется отгружать после 9 января 2024 г., обновление для системы безопасности будет готово после выпуска соответствующего обновления корпорацией Microsoft. Компания Getac объявит о доступности образов после их выпуска. Подробный список см. в табл. A «Даты реализации обновленных образов»
  • Для действующих заказчиков, использующих устройства Getac (отгруженные до 31 июля 2023 г.)
    Сотрудники отдела, отвечающего за управленческую информационную систему в вашей компании, должны изучить изложенные ниже сведения и обязательно удалить или обновить старый диспетчер загрузки на устройствах. Если не выполнить эти критически важные действия, то после этапа принудительного обновления, начало которого корпорация Microsoft запланировала на 9 июля 2024 г., могут возникнуть проблемы с загрузкой устройств.
      • Установите последние обновления ОС Windows и запросите в отделе, отвечающем за управленческую информационную систему в вашей компании, подробные инструкции по нейтрализации угроз. Обязательно установите все обновления, выпущенные корпорацией Microsoft. На данный момент объявлено о двух версиях обновлений — от 9 мая 2023 г. и от 9 января 2024 г.
      • Раздел восстановления: обновите диспетчер загрузки в разделе восстановления с помощью средства Getac Recovery Partition Patch Tool, которое можно загрузить с портала поддержки компании Getac. Прежде чем использовать средство Getac Recovery Partition Patch Tool, обязательно установите обновление для системы безопасности Microsoft, выпущенное после 9 мая. Очень важно выполнить это действие для правильной работы диспетчера загрузки в разделе восстановления. Если заказчик ВКЛЮЧИТ функцию отзыва устаревшего программного обеспечения ⁹, то чтобы в разделе восстановления был диспетчер загрузки самой новой версии, это действие потребуется выполнять при каждой установке обновлений Microsoft.
  • Сценарий восстановления системы с помощью образа для восстановления или замены жесткого диска после принудительного отзыва устаревшего программного обеспечения
    При восстановлении системы обязательно используйте указанные ниже образы для восстановления 6.
      • Использование GRMU8:
        С помощью средства GRMU ² загрузите самый новый образ ОС Windows7 с обновлением для системы безопасности. Это можно сделать по следующей ссылке: https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038. Затем создайте носитель для восстановления системы и выполните ее восстановление 4. Перечень поддерживаемых моделей см. в табл. A «Даты реализации обновленных образов». Для обеспечения безопасности необходимо установить обе версии обновлений — и от 9 мая 2023 г., и от 9 января 2024 г. Если в вашей компании используется нестандартный проект, которого нет в списке, обратитесь к обслуживающему вас менеджеру и инженерам по эксплуатации.

Табл. A. Даты реализации обновленных образов

Модели
(в том числе варианты -EX и -IP изделий)
Поддерживаемые версии ОСДата реализации новых партий с обновлением для системы безопасности *
(версия от 9 мая 2023 г.)
Даты выпуска обновленного образа для восстановления системы
(версия от 9 мая 2023 г.)
Даты выпуска обновленного образа для восстановления системы
(версия от 9 января 2024 г.)
X500G3, T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-312023-10-17TBD
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)
2023-07-312023-10-17TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17TBD
Windows 11 (22H2)2023-10-192023-10-17TBD
X600 ServerServer 20222023-07-31N/A**N/A

* В партиях нестандартного оборудования, которые планируется отгружать после 31.10.2023, будет установлено обновление для системы безопасности Microsoft от 9 мая. Подробные сведения можно получить у работающего с вами торгового представителя.

** Средство GRMU не поддерживает оборудование X600 Server. Подробные сведения можно получить у специалистов службы поддержки или отдела продаж.

FAQ

1При каких обстоятельствах система не будет загружаться?

Начиная с 9 июля 2024 г. корпорация Microsoft будет принудительно отзывать устаревшее программное обеспечение путем его обновления. Старый диспетчер загрузки будет добавлен в базу данных ПО с неразрешенными подписями. Если для устройства выполняется какое-либо из указанных ниже условий, связанных с использованием старого диспетчера загрузки, то после 9 июля 2024 г. это устройство перестанет запускаться.

  • Пользователь производит замену жесткого диска и пытается выполнить загрузку операционной системы без обновления, выпущенного 9 мая 2023 г.
  • Пользователь применяет оригинальный образ GRMU для загрузки с USB-накопителя.
  • Пользователь загружает оригинальную версию WinPE с USB-накопителя.
  • На устройстве загружается оригинальная операционная система с использованием технологии PXE.
  • Если в разделе восстановления нет обновленной версии диспетчера загрузки или имеется его старая версия.
2Могут ли пользователи добровольно отозвать старый загрузчик до первого квартала 2024 года?
После применения обновления корпорации Microsoft от 9 мая пользователи могут добровольно и заблаговременно отозвать старый диспетчер загрузки, выполнив соответствующие инструкции корпорации Microsoft. В противном случае старый диспетчер загрузки будет принудительно отозван 9 июля 2024 г.
3Чего можно ожидать, если не удастся выполнить загрузку устройства после принудительного обновления 9 июля 2024 г.или самостоятельного отзыва старого диспетчера загрузки пользователем?
  • Диспетчер загрузки: если пользователь выберет для загрузки старый диспетчер загрузки, отобразится черный экран и будет выполнен возврат в диспетчер загрузки.
  • Раздел восстановления: система остановит работу в начале раздела восстановления.
  • Загрузка системы: система пропустит загрузочное устройство со старым диспетчером загрузки и выполнит загрузку со следующего загрузочного устройства.

Если возникнет одна из этих ситуаций и устройству не удастся выполнить загрузку, поищите возможное решение в ответах на вопросы ниже.

4Что делать, если после начала этапа принудительного обновления 9 июля 2024 гсистема не загружается?
Отключите безопасную загрузку в BIOS, установите последнее обновление ОС Windows, а затем включите безопасную загрузку.
5Будет ли это обновление для системы безопасности поддерживать версию IOT LTSC?
Да, версия LTSC будет поддерживаться до конца ее жизненного цикла, заявленного корпорацией Microsoft. Версии IOT, следующие за Windows 10 21H2, также будут поддерживаться. Подробные сведения о состоянии поддержки можно узнать в корпорации Microsoft5.
6Если заказчик, использующий версию IOT LTSC, отключит обновление ОС Windows или подключение к Интернету, сможет ли устройство загружаться после 9 июля 2024 г.?
Корпорация Microsoft отправит накопленные обновления после включения Wi-Fi или Центра обновления Windows. На устройстве будет установлена версия программного обеспечения с обновлениями для системы безопасности. В любом случае компания Getac настоятельно рекомендует установить последнюю версию программного обеспечения с обновлениями для системы безопасности.
7Нужно ли устанавливать обе версии обновлений (от 9 мая 2023 г. и от 9 января 2024 г.)?
Да, для обеспечения безопасности требуется установить оба пакета защиты. До даты принудительного обновления (9 июля 2024 г.) обязательно обновите все устройства и загрузочные носители (в том числе отключенные), чтобы они были готовы к изменениям, ужесточающим требования к обеспечению безопасности.

1 Подробные сведения об отзыве и графике выпуска обновлений см. в статье Microsoft.
2 Образ GRMU для определенных моделей изделий Getac будет обновлен, и в него будет включено обновление корпорации Microsoft от 9 мая.
3 Обновление для системы безопасности Microsoft, касающееся уязвимости CVE-2023-24932, поддерживается только для версий Windows 10, следующих за версией 21H2.
4 После восстановления системы с помощью указанных выше образов для восстановления раздел восстановления будет удален.
5 Корпорация Microsoft может изменять сведения о поддержке тех или иных версий. Актуальную информацию можно получить непосредственно в корпорации Microsoft. Корпорация Microsoft оставляет за собой право вносить изменения, и компания Getac не имеет отношения к таким изменениям.
6 После того как станут доступны образы GRMU с обновленным диспетчером загрузки, старые образы GRMU будут удалены из списка. Они будут заменены новыми образами с обновленным диспетчером загрузки.
7 В базе знаний Microsoft имеются обновления для системы безопасности только для версий Windows 10, следующих за версией 21H2. Тем не менее мы отправляем носители для восстановления системы с версиями, использовавшимися на момент заказа. Поэтому если обновления для системы безопасности Microsoft не будут поддерживать текущую версию ПО, компания Getac предложит последнюю версию, поддерживающую эти обновления (Windows 10 22H2).
8 Если ваша компания вернулась с Windows 11 Pro на Windows 10 Pro с использованием корпоративной лицензии Microsoft, то за помощью в восстановлении системы и дальнейшей информацией обращайтесь в корпорацию Microsoft.
9 Сведения о том, как самостоятельно отозвать устаревшее программное обеспечение, см. на веб-странице Microsoft, посвященной безопасности.


Отказ от ответственности Getac. Все содержимое и иные данные, упомянутые в этом заявлении или предлагаемые в связи с описанной в нем проблемой, предоставляются на условиях «как есть». Компания Getac, таким образом, прямо отказывается от любых гарантий, явных или подразумеваемых, включая, помимо прочего, гарантии товарной пригодности, пригодности для определенной цели и отсутствия нарушений прав интеллектуальной собственности. Все представленные сведения, характеристики продуктов и цифры являются предварительными и основаны на текущих ожиданиях. Компания Getac оставляет за собой право изменять или обновлять любое содержимое без предварительного уведомления. Оценки компании Getac являются приблизительными или основаны на результатах внутреннего анализа Getac, моделирования либо имитации архитектуры и могут не отражать реальные угрозы для локальных систем и сред пользователей. Пользователям рекомендуется определить применимость данного заявления к своей среде и предпринять соответствующие меры. Пользователь несет полную ответственность, все риски и расходы в связи с использованием данного заявления и последствиями такого использования. Компания Getac и любые аффилированные с ней организации и лица ни при каких обстоятельствах не несут никакой ответственности за любые претензии, убытки или расходы, включая, помимо прочего, потерю прибыли или данных, недостижение ожидаемых деловых результатов, компенсационные, прямые, косвенные, вторичные, штрафные, особые или случайные убытки, а также простои в работе, связанные с содержащейся здесь информацией либо с действиями, которые на ее основании предпринял пользователь. Компания Getac оставляет за собой право толковать данный отказ от ответственности на свое усмотрение и при необходимости обновлять его