Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2016-3287

Опубликовано: 12 июл. 2016
Источник: msrc
CVSS3: 6.2
EPSS Низкий

Уязвимость обхода функции безопасности Secure Boot

Описание

Уязвимость обхода функции безопасности существует, когда Windows Secure Boot некорректно применяет затронутую политику. Злоумышленник, который успешно эксплуатирует эту уязвимость, способен отключить проверки целостности кода, что позволяет загружать тестовые исполняемые файлы и драйверы на целевом устройстве. Кроме того, злоумышленник может обойти верификацию целостности Secure Boot для функций BitLocker и шифрования устройства.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник должен либо получить административные привилегии, либо иметь физический доступ к целевому устройству, чтобы установить затронутую политику.

Решение

Обновление безопасности устраняет уязвимость, добавляя данные политики в черный список.

Меры защиты

Следующие факторы смягчения могут быть полезны в вашей ситуации:
Злоумышленник должен иметь либо административные привилегии, либо физический доступ к целевому устройству.

Альтернативные решения

Настройка BitLocker для использования защиты TPM + PIN

Чтобы включить защиту TPM и PIN, выполните следующие шаги:

  1. Нажмите "Пуск", затем "Выполнить", введите gpedit.msc и нажмите "ОК", чтобы открыть Редактор локальной групповой политики.
  2. В разделе Локальная политика компьютера перейдите к Шаблоны администрирования > Компоненты Windows > Шифрование дисков BitLocker > Диски операционных систем.
  3. В правой части окна дважды щелкните на "Требовать дополнительную аутентификацию при запуске".
  4. В появившемся диалоговом окне выберите "Включено".
  5. В разделе Опции выберите "Требовать TPM" и "Требовать PIN при запуске с TPM".
  6. Нажмите "Применить" и закройте Редактор локальной групповой политики.
  7. Откройте командную строку с административными привилегиями.
  8. Введите следующую команду:
    manage-bde -protectors -add c: <OR OS volume letter> -tpmandpin
  9. Когда будет запрошен код, введите 4- или 6-значный PIN.
  10. Перезагрузите систему.

Влияние альтернативного решения:
Пользователь должен будет вводить PIN каждый раз при перезагрузке компьютера.

Как отменить альтернативное решение:

  1. Нажмите "Пуск", затем "Выполнить", введите gpedit.msc и нажмите "ОК", чтобы открыть Редактор локальной групповой политики.
  2. В разделе Локальная политика компьютера перейдите к Шаблоны администрирования > Компоненты Windows > Шифрование дисков BitLocker > Диски операционных систем.
  3. В правой части окна дважды щелкните на "Требовать дополнительную аутентификацию при запуске".
  4. В появившемся диалоговом окне выберите "Включено".
  5. В разделе Опции выберите "Разрешить TPM" и "Разрешить PIN при запуске с TPM".
  6. Нажмите "Применить" и закройте Редактор локальной групповой политики.
  7. Перезагрузите систему.

Отключение защиты целостности Secure Boot для BitLocker

Чтобы отключить Secure Boot, выполните следующие шаги в этом порядке:

  1. Отключите BitLocker:

    1. Откройте Панель управления и нажмите на "Шифрование дисков BitLocker".
    2. Нажмите "Отключить BitLocker".
    3. В диалоговом окне шифрования нажмите "Отключить BitLocker".
    4. Закройте Панель управления.

  2. Отключите Secure Boot:

    1. Нажмите "Пуск", затем "Выполнить", введите gpedit.msc и нажмите "ОК", чтобы открыть Редактор локальной групповой политики.
    2. В разделе Локальная политика компьютера перейдите к Шаблоны администрирования > Компоненты Windows > Шифрование дисков BitLocker > Диски операционных систем.
    3. Дважды щелкните на "Разрешить Secure Boot для верификации целостности".
    4. В появившемся диалоговом окне выберите "Отключено".
    5. Нажмите "Применить" и закройте Редактор локальной групповой политики.

  3. Включите BitLocker снова:

    1. Откройте Панель управления, затем нажмите на "Шифрование дисков BitLocker".
    2. Нажмите "Включить BitLocker".
    3. В диалоговом окне шифрования нажмите "Включить BitLocker".
    4. Закройте Панель управления.

Влияние альтернативного решения:
Отключение Secure Boot может привести к тому, что системы будут чаще попадать в режим восстановления BitLocker при обновлении версий прошивки или параметров BCD.

Как отменить альтернативное решение:

  1. Отключите BitLocker:

    1. Откройте Панель управления, затем нажмите на "Шифрование дисков BitLocker".
    2. Нажмите "Отключить BitLocker".
    3. В диалоговом окне шифрования нажмите "Отключить BitLocker".
    4. Закройте Панель управления.

  2. Включите Secure Boot:

    1. Нажмите "Пуск", затем "Выполнить", введите gpedit.msc и нажмите "ОК", чтобы открыть Редактор локальной групповой политики.
    2. В разделе Локальная политика компьютера перейдите к Шаблоны администрирования > Компоненты Windows > Шифрование дисков BitLocker > Диски операционных систем.
    3. Дважды щелкните на "Разрешить Secure Boot для верификации целостности".
    4. В появившемся диалоговом окне выберите "Включено".
    5. Нажмите "Применить" и закройте Редактор локальной групповой политики.

  3. Включите BitLocker снова:

    1. Откройте Панель управления, затем нажмите на "Шифрование дисков BitLocker".
    2. Нажмите "Включить BitLocker".
    3. В диалоговом окне шифрования нажмите "Включить BitLocker".
    4. Закройте Панель управления.

Часто задаваемые вопросы (FAQ)

Я использую Windows Server 2012. Нужно ли мне устанавливать обновления 3170377 и 3172727 в определенном порядке?

Нет. Обновления 3170377 и 3172727 содержат одинаковые компоненты и могут устанавливаться в любом порядке. Установка одного, а затем другого без перезагрузки системы допускается; однако, если вы сначала установите обновление 3172727, а затем перезагрузите систему, последующие попытки установить обновление 3170377 отобразят сообщение: "Обновление не применимо к вашему компьютеру." Это связано с тем, что обновление 3172727 по замыслу заменяет обновление 3170377.

Обновления

ПродуктСтатьяОбновление
Windows Server 2012
3172727
Security Update
Windows Server 2012 (Server Core installation)
3172727
Security Update
Windows 8.1 for 32-bit systems
3172727
Security Update
Windows 8.1 for x64-based systems
3172727
Security Update
Windows Server 2012 R2
3172727
Security Update
Windows RT 8.1
3172727
-
Windows Server 2012 R2 (Server Core installation)
3172727
Security Update
Windows 10 for 32-bit Systems
3163912
Security Update
Windows 10 for x64-based Systems
3163912
Security Update
Windows 10 Version 1511 for x64-based Systems
3172985
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Yes

Exploited

No

Latest Software Release

Exploitation More Likely

Older Software Release

Exploitation More Likely

EPSS

Процентиль: 43%
0.00206
Низкий

6.2 Medium

CVSS3

Связанные уязвимости

nvd логотип

CVE-2016-3287

CVSS3: 4.4
nvd
почти 9 лет назад

Microsoft Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 allows local users to bypass the Secure Boot protection mechanism by leveraging administrative access to install a crafted policy, aka "Secure Boot Security Feature Bypass."

github логотип

GHSA-whq3-926m-h9qp

CVSS3: 4.4
github
около 3 лет назад

Microsoft Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 allows local users to bypass the Secure Boot protection mechanism by leveraging administrative access to install a crafted policy, aka "Secure Boot Security Feature Bypass."

fstec логотип

BDU:2016-01869

fstec
почти 9 лет назад

Уязвимость операционной системы Microsoft Windows, позволяющая нарушителю обойти механизм защиты безопасной загрузки

EPSS

Процентиль: 43%
0.00206
Низкий

6.2 Medium

CVSS3