神基科技股份有限公司針對 Microsoft 安全性更新

(與 CVE-2023-24932 有關之安全開機變更的 Windows 更新 KB5025885)的聲明

更新:2023年10月31日

重要性:

請注意,本聲明旨在通知您 Microsoft 發布之重要安全性更新。建議用戶查看指示並採行 Microsoft 之建議與下述操作(可能隨時更新)啟用繞過安全開機之保護功能,並避免潛在安全風險和系統故障。另請注意,Microsoft 宣布務必在進入最後強制執行之前完成建議之步驟,暫定於 2024 年 7 月 9 日之前。若未能依序完成要求的步驟,可開機媒體可能無法開機,並導致您的 Getac 裝置在 Microsoft 最後強制執行後無法開機。另請注意,由 Getac 發布具有或不具 Getac 品牌名稱之軟體(包括但不限於系統軟體)不在 Getac 保固範圍內。對於未遵循 Microsoft 安全性更新相關指示所產生之任何索賠、損害、成本或支出,Getac 概不負責。


背景

由於使用 CVE-2023-24932 追蹤的 BlackLotus UEFI bootkit 已經繞過路安全開機安全性功能,因此 Microsoft 已經採取行動,於 2023 年 5 月 9 日發布 KB5025885 和安全性更新,以管理 Windows 開機管理程式撤銷。

Microsoft 的安全性更新分為四個階段¹,最後階段為強制執行。最後強制執行階段排定於 2024 年 7 月 9 日,讓風險降低措施永久化


風險與影響

  • BlackLotus UEFI Bootkit 弱點使攻擊者得以繼續控制他們已能存取且可能操作的裝置。強烈建議所有客戶套用在 2023 年 5 月 9 日(第一段保護)和 2024 年 1 月 9 日(第二段保護)發布的 Windows 安全性更新,藉此實施必要的安全性風險降低措施。
  • 在 2024 年 7 月 9 日,將會以程式設計方式強制執行撤銷。¹ 因此,某個裝置一旦更換成保留舊開機管理程式的硬碟,在強制執行日期之後有可能無法開機。


Microsoft 詳細說明

請查看微軟有關 CVE-2023-24932 最新安全性更新之公告。
KB5025885:如何管理與 CVE-2023-24932 有關之安全開機變更的Windows 開機管理程式撤銷 - Microsoft 支援


Getac 用戶的行動

建議將所有可開機媒體升級到最新版本,並且以新的開機管理程式更新。Getac 建議客戶根據不同情況,遵循以下概述的行動。Getac 將發布更新復原磁碟分割中之開機管理程式的可開機復原映像(以 Getac 復原媒體應用程序 (「GRMU」)² 生成)以及工具。

  • 具有最新安全性更新映像和開機管理程式的新出貨³ 將如表 A 所示發布。針對 2024 年 1 月 9 日之新出貨,安全性更新將在 Microsoft 發布後準備就緒。Getac 將於其發布後公布映像進度狀態。相關詳細清單,請參閱表 A:<更新的 HDI 實施日期>
  • 對於目前使用 Getac 裝置的客戶 (2023 年 7 月 31 日前出貨)
    請確保 MIS 部門知悉以下概述資訊,並確認舊版開機管理程式已移除或更新。這對於防止在 Microsoft 於 2024 年 7 月 9 日強制執行階段後出現任何開機問題極為重要。
      • 請繼續進行 Windows 更新以便安裝最新版本的 Windows 更新,並向您的 MIS 部門諮詢,進一步瞭解詳細的風險降低措施。請務必更新所有 Microsoft 發布的更新。目前有 2 個已發布的更新版本(2023 年 5 月 9 日和 2024 年 1 月 9 日版本)
      • 復原磁碟分割:請利用 Getac 服務入口網站上提供之 Getac 復原磁碟分割修復工具,更新復原磁碟分割中的開機管理程式。 在使用 Getac 復原磁碟分割修復工具之前,確保您已經完成 Microsoft 於 5 月 9 日發布的安全性更新版本。此步驟對於在復原磁碟分割內為開機管理程式提供適當便利性而言極為重要。若客戶決定啟用撤銷,請於每次使用 Microsoft 更新進行更新時重複此步驟,以確保復原磁碟分割含有最新的開機載入程式。
  • 強制執行撤銷後,系統透過復原映像復原或更換硬碟的情況:
    請務必使用以下復原映像進行系統復原6。
      • 使用 GRMU8:
        請透過 GRMU²https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038  下載具有安全性更新的最新 Windows 映像7,以利生成復原媒體並執行系統復原4。支援的型號清單如表 A:<更新映像實施日期>。需要2023 年 5 月 9 日 & 2024 年 1 月 9 日兩個版本,以確保安全性。針對不在清單中的客製化專案,請與您的帳戶管理員 & FAE 聯繫。

表 A:<更新映像實施日期>

型號
(包括 -EX,-IP 產品版本)
支援的作業系統附安全性更新實施日期之新出貨*
(2023 年 5 月 9 日版本)
更新復原映像發布日期
(2023 年 5 月 9 日版本)
更新復原映像發布日期
(2024 年 1 月 9 日版本)
X500G3T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)
2023-07-312023-10-17TBD
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)
2023-07-312023-10-17TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17TBD
Windows 11 (22H2)2023-10-192023-10-17TBD
X600 ServerServer 20222023-07-31N/A**N/A

*針對客製化專案,2023 年 10 月 31 日後出貨之產品將附有 Microsoft 於 5 月 9 日發布之安全性更新。相關詳細資訊,請洽詢您的 SA。

**GRMU 不支援 X600 伺服器。相關詳細資訊,請洽詢服務團隊或銷售人員。

常見問題

1哪些情況下,系統會無法開機?

自 2024 年 7 月 9 日開始,Microsoft 將透過更新強制執行撤銷。舊開機管理程式將添加到禁止特徵資料庫中。某個裝置若屬於以下涉及使用舊開機管理程式的任一情況,在 2024 年 7 月 9 日後將無法開機。

  • 用戶更換硬碟,並使用尚未以 2023 年 5 月 9 日發布之知識庫更新的作業系統開機。
  • 用戶使用原始版 GRMU 映像進行 USB 開機。
  • 用戶使用 USB 隨身碟開機到原始版 WinPE。
  • 裝置通過 PXE 開機到原始版的作業系統。
  • 復原磁碟分割沒有更新版開機管理程式或包含舊開機管理程式。
2在 2024 年第一季之前,用戶是否可主動撤銷停用的啟動載入器?
套用 Microsoft 5 月 9 日的更新後,用戶可按照 Microsoft 的指示提早主動撤銷舊開機管理程式,Microsoft 預計將於 2024 年 7 月 9 日撤銷該管理程式。
3若因「2024 年 7 月 9 日強制執行最後階段」或使用者「手動撤銷舊開機管理程式」而導致開機失敗,我們應預期會出現什麼情況?
  • 開機管理程式:若用戶選擇以舊開機管理程式開機,就會閃黑屏畫面並返回開機管理程式。
  • 復原磁碟分割:系統會在復原磁碟分割開始時停止。
  • 系統開機:系統會略過使用舊開機管理程式的此一開機裝置,並開機下一個開機裝置。

若您遇到上述情況且無法將裝置開機,請參考以下常見問題集加以排除。

4在 2024 年 7 月 9 日最後強制執行階段後,系統若無法開機,我該怎麼辦?
請在 BIOS 設定中,停用安全開機,更新到最新版的 Windows 更新,然後再啟用安全開機。
5IOT LTSC 版本是否享有這些安全性更新的支援?
是的,只要 LTSC 仍在 Microsoft 生命週期內,就有包含在內。Win10 21H2 之後的 IOT 版本也將享有支援。詳細支援狀態請向 Microsoft 洽詢5
6若 IOT LTSC 客戶停用 Windows 更新或網路,裝置是否無法在 2024 年 7 月 9 日之後開機?
一旦 Wi-Fi 或 Windows 更新啟用,MSFT 就會推播累積的更新,裝置將更新至具有安全性更新的版本。但 Getac 強烈建議更新至具有安全性更新的最新版本。
7我是否必須更新於 2023 年 5 月 9 日和 2024 年 1 月 9 日發布的這兩項更新?
是的,必須有這兩道防護才能確保安全性。在2024 年 7 月 9 日最後強制執行之前,請務必確認您的裝置和所有可開機媒體(包括離線媒體)皆已更新且準備接受本次安全性強化變更。

1 有關撤銷及更新時間詳情,請參考 Microsoft 說明。
2 特定 Getac 型號的 GRMU 映像將進行更新,以便包含 Microsoft 5 月 9 日的更新。
3 有關 CVE-2023-24932 的 Microsoft 安全性更新僅支援 Windows 10 21H2 之後的版本。
4 以前述復原映像復原後,復原磁碟分割就會刪除。
5 版本支援相關資訊可能由 Microsoft 加以變更。 如需最新資訊,請直接向 Microsoft 洽詢。Microsoft 保留進行更改之權利,且這類更改與 Getac 無關。
6 一旦具有更新開機管理程式的新 GRMU 映像開放下載,舊的 GRMU 映像將無法再存取, 其將由包含已更新之開機管理程式的新映像所取代。
7 Microsoft 的知識庫 (KB) 僅提供 21H2 以後之 Windows 10 版本的安全性更新。然而,原始復原媒體會以和訂購時相同的版本出貨。因此,若微軟的安全性更新不支援目前版本,Getac 將提供最新的可更新版本 Windows 10 22H2。
8 若您透過 Microsoft 大量授權從 Windows 11 Pro 降級為 Windows 10 Pro,請與 Microsoft 聯繫尋求復原協助和進一步資訊。
9 請查看 Microsoft 的安全性頁面,瞭解自我撤銷的詳細資訊。


Getac 免責聲明: 無論是本聲明中提到、或因本聲明所述問題引起而提供,所有內容和其他資訊均按「原樣」提供。Getac 特此明確放棄任何明示或暗示的保證,包括但不限於商品性能、任何特定用途之適用性、不侵犯智慧財產權的保證。指定的所有產品、資訊和數字都是基於當前預期得出的初步結果,Getac 保留隨時變更或更新當中任何內容的權利,恕不另行通知。Getac 評估是採用 Getac 內部分析或結構模擬或建模,來進行估計或模擬,但不代表對用戶本地安裝和個人環境的實際風險。建議用戶自行判定本聲明是否適用於其指定環境,並採取適當的行動。使用本聲明及該使用的所有後果,完成由用戶自行承擔責任、風險和費用。在任何情況下,Getac 或其任一關係企業均不對任何索賠、損害、費用或開支負責,包括但不限於因本聲明所載資訊或用戶據此而決定採取的行動所致或與之相關的利潤損失、數據丟失、業務預期損失、賠償,或是直接、間接、後果性、懲罰性、特殊或附帶損害或業務中斷。Getac 保留權利,得解釋本免責聲明,並得在必要時予以更新。