【投稿者コメント】
【キーワード】
[MSの既存PC潰し策]、[永久Win起動不可に]、[脆弱性の悪用]
【件名】
【緊急告示】「「セキュア・ブート・バイパスを阻止する為の、ブート・マネージャーの取り消し」は、所有するCD/DVD/USBメモリ等の起動メディアとBackupを2023年5月9日以降に再作成して、それらの全てのメディアでWindows起動が可能である事を確認した後に行え/そうしないと起動メディアとBackupに依る起動・復旧が出来なくなる/製品欠陥を悪用して新規購入で利益拡大の企みは止めて、即、抜本的な是正・解消策を実行せよ」
【投稿本文】
【1】今月5月の月例Windows Updateで導入された「BlackLotus UEFIブートキット対策」とは?
以下は、今月5月の月例Windows Updateで導入された「BlackLotus UEFIブートキット対策」の重大な問題点を報告したものだ。
一体、何が問題なのかと云うと・・・
Microsoftは、この「BlackLotus UEFIブートキット対策」の為に、Windows起動に使用する「ブート・マネージャー」をOFFにして失効させると云う。
【2】「ブート・マネージャー」はどう云う役割なのか?
じゃ、そうするとどうなるのかと云うと・・・
ここで、「ブート・マネージャー」はどう云う役割かと云うと、
『
Windowsブートマネージャー(BOOTMGR)は、ボリューム・ブートレコードの一部であるボリューム・ブート・コードから読み込まれる小さなソフトウェアだ。これにより、Windows OS(オペレーティング・システム)を起動出来る。
「システム予約」パーティションがない場合、BOOTMGRはプライマリ・ハードドライブ(殆どの場合Cドライブ)に配置されている。ブート・マネージャーは、Windowsの起動プロセスを続行する為に使用されるシステム・ローダーであるwinload.exeを実行する。
』
要するに、Cドライブのブート・マネージャーに依って、Windowsの起動プロセスであるシステム・ローダーを起動・実行する。
要するに、システム・ローダーであるwinload.exeがどのパーティションのどの位置(フルパス)にあっても、「その位置=バイトオフセットやバイト長」をシステム・ローダーが把握・調整して。うまく、起動時に、システム・ローダーであるwinload.exeを読み込んでくれる!
システム・ローダーであるwinload.exeを読み込む為のシステム・ローダーがOFFで作動しないとPC再起動は出来なくなって当たり前だ!
しかも、「この記事の軽減策は予防的なものであり、是正的なものではない!」とほざいている!
ふざけんな! ならば、早く、再発不可の是正処置を実行しろよ!
【3】「ブート・マネージャー」をOFFにして失効させる操作手順とは?
それでは、是正措置ではない暫定対処の「ブート・マネージャー」をOFFにして失効させる操作の手順はと云うと・・・
①影響を受ける全てのシステムに2023年5月9日の更新プログラムをインストールする
(但し、インストールはされるが、「ブート・マネージャー」のOFF設定は有効にはなっていない)
②2023年5月9日以降にリリースされたWindows更新プログラムで「起動可能なメディア」と「Backupデータ」を更新する。
2023年5月9日以降にリリースされたWindows更新プログラムでメディアを更新すると、環境内の全てのデバイスでメディアが引き続き起動されるようになる。
2023年5月9日以降にリリースされたWindows更新プログラムのインストール前にイメージ化されたWindowsのバックアップは、これらの更新プログラムのインストール後に再作成する必要がある。
デバイスで「ブート・マネージャー」が失効が有効になった後は、これらを直接使用してWindowsインストールを復元する事は出来ない。
③CVE-2023-24932の脆弱性から保護するには、「ブート・マネージャー」の失効を適用する。
◇
一番の問題点は、③の「ブート・マネージャー」の失効を適用する前に、②の通り、全ての「起動可能なメディア」と「Backupデータ」を再作成して、PC再起動を確認する事が必須だと云う点だ!
この②のメディア再作成の操作を実行せずに、③の「ブート・マネージャー」の失効を適用すると、全ての「起動可能なメディア」と「Backupデータ」は使用出来ずに、Windows起動不可となり、即、PC廃棄となる点だ!
③の操作後に、②の「起動可能なメディア」と「Backupデータ」を再作成しようとした所で、後の祭りで、もう、再起動可能な「起動可能なメディア」と「Backupデータ」は再作成出来ない!
【4】Microsoftの不審行動/ユーザへの背信・敵対行為とは?
なぜ、Microsoftは、深刻なWindowsOSの脆弱性・バグに対して、いい加減な、更に、致命的な不具合を発生させる対応をするのか?
上記のMicrosoftの対応では、「将来的には、セキュア・ブート・バイパスを修正する為に、Windows Updateで、強制的に、ブート・マネージャーの取り消しを実行する(2024年の第1四半期に予定)」と云う。
この「Windows Updateでの、強制的な、ブート・マネージャーの取り消し強制適用」の前に、全てのWindowsPCユーザが、所有する「起動可能なメディア」と「Backupデータ」の再作成を行う・出来るとは、とても思えない!
特に、WindowsOSの知識・経験の無い一般の、多くのWindowsPCユーザは、WindowsOSがプリインストール済みのノートPCに、初期化メディア(CD/DVD)が付属したり、再起動用のWindows REツ―ル用のパーティションが設けられていた場合に、初期化メディア(CD/DVD)を再作成したり、再起動用のWindows REツ―ル用のパーティションを修正したりする事なく、「Windows Updateでの、強制的な、ブート・マネージャーの取り消し強制適用」されてしまうだろう!
※一方、『SafeOS の動的更新が利用可能になるまで、LCU の完全な更新プログラムをWinREパーティションに適用するな。 Windows回復環境(WinRE)は、2023年5月9日以降にリリースされたWindows更新プログラムをインストールせずに引き続き起動する。今後のリリースに向けてSafeOSの動的更新に取り組んでいく』とも云うから、アナウンスがあるまで、WinREパーティションへのパッチ適用は見送るべきだ!
こうなったら、もう、初期化メディア(CD/DVD)は使えないし、Windows REツ―ル用のパーティションも使えないから、Windws起動不可となったら、もう、復旧の機会・手立て・手段は皆無となるから、当該PCは廃棄するしかなくなる!
【5】見え透いた製品バグの悪用/既存PCの廃棄を促進して新規購入で利益拡大か?
こうなれば、WindowsPCを引き続き使用しようとする場合は、新規WindowsPCを新調するしかなくなり、MicrosoftとIntelは、ますますの商売繁盛となる!
MicrosoftとIntelは、「古いWindowsOSと古いCPUは危険だから、Windows11と最新CPUを搭載した最新PCに乗り換えろ!」の恫喝・恐喝が、WindowsPCユーザの大反発を食らったので、商売繁盛の第2策のWindowsPC潰し策として、今回の「セキュア・ブート・バイパス脆弱性」の悪用になったとしか思えない!
まさに、WindowsOSの脆弱性・バグを逆手に取った「犯罪行為」としか思えない!
ここで、WindowsOSが起動不可となった場合の「起動メディアに依る復旧対策」の大前提・条件は、正しく、適正に、ブート・マネージャーが動作する事だ!
ここで、「ブート・マネージャー」はどう云う役割かと云うと、
『
Windowsブートマネージャー(BOOTMGR)は、ボリューム・ブートレコードの一部であるボリューム・ブート・コードから読み込まれる小さなソフトウェアだ。これにより、Windows OS(オペレーティング・システム)を起動出来る。
』
要するに、Cドライブのブート・マネージャーに依って、Windowsの起動プロセスであるシステム・ローダーを起動・実行する。
システム・ローダーであるwinload.exeを読み込む為のシステム・ローダーがOFFで作動しないとPC再起動は出来なくなって当たり前だ!
しかも、「この記事の軽減策は予防的なものであり、是正的なものではない!」とほざいている!
ふざけんな! ならば、早く、再発不可の是正処置を実行しろよ!
しかも、『「リカバリドライブの作成」機能は、2023年5月9日以降にリリースされた更新プログラムではサポートされておらず、失効が有効になっているデバイスの復元には使用出来ない。Microsoftは、今後のリリースで更新プログラムを提供する』と云う事で、一番利用頻度の高い、「リカバリドライブの再作成」が未だに出来ないとは、一体、どう云う事なのか? 「早く、起動可能なメディアとBackupデータを再作成しろ!」と云っておきながら、どの口が、「今それは出来ません!」と抜かすのか? Microsoftは気が確かか?
最善と云うより、当たり前の対処は、このシステム・ローダーが、「BlackLotusブートキット」等のマルウェア等に乗っ取られて、「セキュア・ブート・バイパス」攻撃を受けぬ様に、システム・ローダーの脆弱性を改修する事であり、システム・ローダーを無効化(OFF)にする事では、断じて無い!
今回の糞Microsoftの糞対応である、システム・ローダーを無効化(OFF)にすると云う事は、Windows起動不可時の唯一の対策の「起動メディアに依る復旧手段」を閉じて、WindowsPCを強制廃棄に追い込む為の悪行=犯罪行為そのものだ!
MicrosoftとIntelに依る、「古いWindowsOSと古いCPUは危険だから、Windows11と最新CPUを搭載した最新PCに乗り換えろ!」の恫喝・恐喝が功を奏さずに、一向に、Windows11と最新CPU搭載の最新PCへの移行が進展しない事に業を煮やした、悪行・企(たくら)み・悪意だとしたら、ホ―ムページで高々と、「当社は、ユーザ本位の、お客様を大事にする、コンプライアンスを重視するIT企業です!」の喧伝が、いかにも、空々しい!
こんな事が法治国家で許されてよいのだろうか?
ここは、デジタル大臣が日本Microsoft社のCEOをデジタル省へ呼び付けて、善処・正しい対応を要求・指示・命令すべきだろう! マイナンバーに依る住民票交付処理のバグの善処を富士通Japanに命令した如く!
本バグが期限内に正しく是正処理されない限り、日本Microsoft社の全ての営利活動を停止する命令を執行すべきだ!
期限内に正しく是正処理されない場合は、Microsoft社の日本からの撤退を命ずるべきだ!
<<てめえの製品の欠陥を悪用して、購入済み製品を破壊して、新規製品の購入を促進して儲ける行為が器物損壊罪の詐欺犯罪でなくてどうする!>>
<<まともなOSなら、好きなタイミングでBackupが取得出来て、そのBackupを使用して、確実にBackup取得時点に戻せるから、もはや、その当たり前の事が出来ない様なWindowsOSはまともなOSとは云えまい! そんな糞OSなんぞは使うな!と云うのと一緒だ! とても、お客様からお代を頂戴出来る様な代物とは云えまい!>>
【引用元】
「KB5025885 CVE-2023-24932 に関連付けられているセキュア・ブートの変更に対するWindowsブート・マネージャー失効を管理する方法_by_Microsoft サポート」
https://support.microsoft.com/ja-jp/topic/kb5025885-cve-2023-24932-に関連付けられているセキュア-ブートの変更に対する-windows-ブート-マネージャー失効を管理する方法-41a975df-beb2-40c1-99a3-b3ff139f832d
(以下、引用行を『』で囲む)
『
【要 約】
セキュアブートを無効にすると、デバイスがブートキットマルウェアに感染する危険にさらされます。
CVE-2023-24932で説明されているセキュアブートバイパスを修正するには、ブートマネージャーを取り消す必要があります。
これにより、一部のデバイスのブート構成に問題が発生する可能性があります。
2023年5月9日のセキュリティ更新プログラムでは、セキュアブートバイパスの保護を手動で有効にする構成オプションが提供されていますが、これらの保護は自動的には有効になりません。
これらの保護を有効にする前に、デバイスとすべての起動可能なメディアが更新され、このセキュリティ強化の変更に対応する準備ができている事を確認する必要があります。
【対処方法】
重要手順は次の順序で実行し、次の手順に進む前に完了する必要があります。
全ての手順が順番どおりに完了しないと、起動可能なメディアは開始できません。
1,影響を受けるすべてのシステムに2023年5月9日の更新プログラムをインストールします。
2.2023年5月9日以降にリリースされたWindows更新プログラムで起動可能なメディアを更新します。 独自のメディアを作成しない場合は、Microsoft又はデバイスの製造元(OEM)から更新された公式メディアを入手する必要があります。
2023年5月9日以降にリリースされたWindows更新プログラムでメディアを更新すると、環境内の全てのデバイスでメディアが引き続き起動されるようになる。
2023年5月9日以降にリリースされたWindows更新プログラムのインストール前にイメージ化されたWindowsのバックアップは、これらの更新プログラムのインストール後に再作成する必要がある。
デバイスで失効が有効になった後は、これらを直接使用してWindowsインストールを復元する事は出来ない。
3.CVE-2023-24932の脆弱性から保護するには、失効を適用します。
』
【重要事項】
2023年5月9日以降にリリースされたWindows更新プログラムで「起動可能なメディア」と「Backupデータ」を再作成する必要がある。
独自に「起動可能なメディア」と「Backupデータ」を再作成しない場合は、Microsoft、又は、デバイスの製造元((OEM)から更新された公式メディアを入手する必要がある。
その後で、ようやく、「セキュア・ブート・バイパスを修正する為の、ブート・マネージャーの取り消し」を実行出来る。
Backupに依るリストア(復旧)用「起動可能なメディア」と「Backupデータ」等を2023年5月9日以降に再作成しない場合は、それらの「起動可能なメディア」と「Backupデータ」では、Windows起動が一切出来なくなる!
と云う事は、「Backupデータ」を再作成出来ない様な、以前のPC環境のBackupは使えずに強制廃棄処分になる!と云う事で、一種のBackup潰し=PC潰しの犯罪行為ではないのか?(怒)
要するに、所有するCD/DVD/USBメモリ等の「起動可能なメディア」と「Backupデータ」を2023年5月9日以降に再作成して、それらの全ての「起動可能なメディア」と「Backupデータ」でWindows起動が可能である事を確認しない限り、決して、「セキュア・ブート・バイパスを修正する為の、ブート・マネージャーの取り消し」は実行してはならない!
『
【リスクの理解】
この記事で説明されている「BlackLotus UEFIブートキット」の悪用を可能にするには、攻撃者がデバイスの管理者権限を取得するか、デバイスへの物理アクセスを取得する必要がある。
これは、デバイスに物理的にアクセスするか、ハイパーバイザーを使用してVM/クラウドにアクセスするなど、リモートでアクセスする事によって実行出来る。
攻撃者は通常、この脆弱性を利用して、既にアクセス出来、操作出来る可能性があるデバイスを引き続き制御する。
この記事の軽減策は予防的なものであり、是正的なものではない。
セキュアブートを使用し、この記事の手順を誤って実行すると、デバイスを起動出来なくなったり、メディアから回復出来なくなったりする可能性があります。
これにより、メディアが正しく更新されていない場合は、ディスクや外付けドライブなどのリカバリメディアやネットワークブートリカバリを使用出来なくなる可能性があります。
【この問題の影響を受ける起動可能なメディアとリカバリ・メディアの例】
「リカバリドライブの作成」を使用して作成された起動可能なメディア。
注: 「リカバリ ドライブの作成」機能は、2023年5月9日以降にリリースされた更新プログラムではサポートされておらず、失効が有効になっているデバイスの復元には使用出来ません。Microsoftは解決方法に取り組んでおり、今後のリリースで更新プログラムを提供します。
2023年5月9日以降にリリースされた更新プログラムのインストール前にイメージ化されたWindowsのバックアップ。デバイスで失効が有効になった後は、これらを直接使用してWindowsインストールを復元する事は出来ません。
自分、デバイス製造元(OEM)、又は企業によって作成されたカスタムCD/DVD又はリカバリ パーティション
ISO(ダウンロード又はADKを使用)
ネットワーク・ブート
Windows展開サービス
プリブート実行環境ブートサービス(PXEブートサービス)
Microsoft Deployment Toolkit
HTTPSブート
OEMインストール及びリカバリメディア
Microsoftの公式Windowsメディアには次のものが含まれます:
小売メディア
メディア作成ツール(ISO又はUSBドライブ)
VLSC
Visual Studioサブスクライバーのダウンロード
USBドライブ
Windows PE
物理ハードウェア又は仮想マシンにインストールされたWindows
Windows検証OS
【メモ】
最新の累積更新プログラムで更新されたMicrosoftからのダウンロード可能なWindows メディアは、Microsoftソフトウェアダウンロード、Visual Studioサブスクリプション、ボリュームライセンスサービスセンターなどの使い慣れたチャネルを通じて入手できます。
【注 意】
この問題の軽減策がデバイスで有効になると、失効が適用され、そのデバイスでセキュア・ブートを使用し続ける場合、元に戻すことは出来ません。
既に失効が適用されている場合、ディスクを再フォーマットしても失効は削除されません。
この記事で説明されている失効をデバイスに適用する前に、考えられる全ての影響を認識し、徹底的にテストしてください。
』
→要するに、「セキュア・ブート・バイパスを修正する為の、ブート・マネージャーの取り消し」は、後で、取消しが出来ないので、予め、「セキュア・ブート・バイパスを修正する為の、ブート・マネージャーの取り消し」を行う前に、全ての「起動可能なメディア」と「Backupデータ」の再作成と起動確認が必須となる!
→ここで勘違いしやすいのは、『取り敢えず、「セキュア・ブート・バイパスを修正する為の、ブート・マネージャーの取り消し」を実行しておいて、後から、おいおい、「起動可能なメディア」と「Backupデータ」を再作成すればよいだろう!』と思い違いをしやすい点だ!
→再作成する前の「起動可能なメディア」と「Backupデータ」のメディア内の「①起動条件+②起動データ」は、①と②は共に、「ブート・マネージャーON」の条件だが、一旦、「ブート・マネージャーの取り消し(OFF)」を実行した後に、メディアを再作成した場合は、「①起動条件」は、「ブート・マネージャーOFF」の条件となるが、「②起動データ」は「ブート・マネージャーON」のままで、「ブート・マネージャーOFF」に出来ないから、①と②とで、「ブート・マネージャーのON/OFF」がアンマッチとなり、結局、この状態のメディアでは、起動は出来なくなる!
(【後の祭りで、再起動可能な「起動可能なメディア」と「Backupデータ」の再作成が不可にならぬ様に、くれぐれも御注意を!】)
(【「ブート・マネージャーON」は、最後の最後になってから実行せよ!と云う重要通告!】)
→要するに、「ブート・マネージャーの取り消し(OFF)」を実行する前に、全ての「起動可能なメディア」と「Backupデータ」は再作成して、起動を確認しておく必要がある!(【手順を間違えるなと注意喚起している理由】)
【Microsoftの不審行動】
なぜ、Microsoftは、深刻なWindowsOSの脆弱性・バグに対して、いい加減な、更に、致命的な不具合を発生させる対応をするのか?
上記のMicrosoftの対応では、「将来的には、セキュア・ブート・バイパスを修正する為に、Windows Updateで、強制的に、ブート・マネージャーの取り消しを実行する(2024年の第1四半期に予定)」と云う。
この「Windows Updateでの、強制的な、ブート・マネージャーの取り消し強制適用」の前に、全てのWindowsPCユーザが、所有する「起動可能なメディア」と「Backupデータ」の再作成を行うとは、とても思えない!
特に、WindowsOSの知識・経験の無い一般の、多くのWindowsPCユーザは、WindowsOSがプリインストール済みのノートPCに、初期化メディア(CD/DVD) が付属したり、再起動用のWindows REツ―ル用のパーティションが設けられていた場合に、初期化メディア(CD/DVD)を再作成したり、再起動用のWindows REツ―ル用のパーティションを修正したりする事なく、「Windows Updateでの、強制的な、ブート・マネージャーの取り消し強制適用」されてしまうだろう!
※一方、『SafeOS の動的更新が利用可能になるまで、LCU の完全な更新プログラムをWinREパーティションに適用するな。 Windows 回復環境 (WinRE) は、2023 年 5 月 9 日以降にリリースされた Windows 更新プログラムをインストールせずに引き続き起動する。 今後のリリースに向けて SafeOS の動的更新に取り組んでいく』とも云うから、アナウンスがあるまで、WinREパーティションへのパッチ適用は見送るべきだ!
こうなったら、もう、初期化メディア(CD/DVD)はつかえないし、Windows REツ―ル用のパーティションも使えないから、Windws起動不可となったら、もう、復旧の機会・手立て・手段は皆無となるから、当該PCは廃棄するしかなくなる!
こうなれば、WindowsPCを引き続き使用しようとする場合は、新規WindowsPCを新調するしかなくなり、MicrosoftとIntelは、ますますの商売繁盛となる!
・
・
<<上記の【5】の通り>>
・
・
