KB5025885: Microsoft запускает развертывание патча против уязвимости CVE-2023-24932 Black Lotus для Windows

На этой неделе Microsoft выпустила обновления «Вторника Патчей» за июль 2024 года для Windows 10 (KB5040427 / KB5040430 / KB5040434 / KB5040448), Windows 11, версий 21H2 / 22H2 / 23H2 (KB5040442 / KB5040431), Windows 11, версия 24H2 (KB5040435) и поддерживаемых версий Windows Server. Обновление для Windows 11 исправляет проблему с панелью задач. Microsoft также обновила официальные ISO-образы Windows 11, версия 24H2.

Windows

Windows Server

• Обновление KB5040435 (Build 26100.1150) для Windows Server 2025
• Обновление KB5040438 (Build 25398.1009) для Windows Server, версия 23H2
• Обновление KB5040437 (Build 20348.2582) для Windows Server 2022
• Обновление KB5040430 (Build 17763.6054) для Windows Server 2019
• Обновление KB5040434 (Build 14393.7159) для Windows Server 2016

Кроме того, Microsoft исправила серьезную проблему, которая долгое время затрагивала пользователей Windows 10 и Windows 11. Компания выпустила обновления среды восстановления Windows (WinRE) KB5034441 (для Windows 10) и KB5034440 (для Windows 11), чтобы устранить уязвимость обхода «Безопасной загрузки» (Secure Boot) с идентификатором CVE-2024-20666. Эти обновления отличаются от обновления WinRE, выпущенного на этой неделе для Windows 11, версия 24H2 под номером KB5041137.

Microsoft запускает развертывание патча против уязвимости CVE-2023-24932 Black Lotus для Windows

Теперь Microsoft объявила о фазе развертывания мер по устранению уязвимости BlackLotus UEFI Secure Boot, отслеживаемой под идентификатором CVE-2023-24932. Редмонд рекомендовал организациям и предприятиям начать развертывание этих мер с последними обновлениями «Вторника Патчей» от 9 июля. Предыдущее обновление патчей BlackLotus было выпущено в мае 2024 года и определено как фаза оценки.

с 9 июля 2024 года — фаза развертывания

В эту фазу клиентам рекомендуется начать развертывание мер и управление любыми обновлениями носителей. Обновления включают следующее изменение:

• Добавлена поддержка Secure Version Number (SVN) и установка обновленного SVN в прошивку.

Ниже приведен план шагов для развертывания в корпоративной среде:

Примечание: Дополнительные рекомендации будут представлены в последующих обновлениях этой статьи.

• Разверните первую меру на всех устройствах в корпоративной сети или в управляемой группе устройств. Это включает:
• Выбор первой меры, которая добавляет сертификат подписи «Windows UEFI CA 2023» в прошивку устройства.
• Мониторинг, чтобы убедиться, что устройства успешно добавили сертификат подписи «Windows UEFI CA 2023».
• Разверните вторую меру, которая применяет обновленный загрузочный менеджер к устройству.
• Обновите любые средства восстановления или внешние загрузочные носители, используемые с этими устройствами.
• Разверните третью меру, которая включает отзыв сертификата «Windows Production CA 2011» путем добавления его в DBX в прошивке.
• Разверните четвертую меру, которая обновляет Secure Version Number (SVN) в прошивке.

Поскольку документ поддержки довольно обширный и содержит много деталей, Microsoft опубликовала список изменений, чтобы администраторы и пользователи могли быстро заметить изменения, внесенные компанией.

9 июля 2024 года

• Обновлено «Шаг 2: Оцените изменения», чтобы удалить дату 9 июля 2024 года.
• Обновлены все упоминания даты 9 апреля 2024 года на 9 июля 2024 года, кроме раздела «Время обновления».
• Обновлен раздел «Загрузочные носители» и заменено содержание на «Руководство по обновлению загрузочных носителей будет представлено в будущих обновлениях».
• Обновлено «9 июля 2024 года или позже — начало фазы развертывания» в разделе «Время обновления».
• Добавлен Шаг 4 «Примените обновление SVN к встроенному ПО» в разделе «Рекомендации по развертыванию мер по устранению рисков».

Подробная информация доступна в документе поддержки на официальном сайте Microsoft.