Microsoft: Новое обновление Windows приводит к ошибке

Microsoft предупреждает , что при установке обновления для системы безопасности Windows KB5012170 Secure Boot пользователи могут увидеть ошибку 0x800f0922. Ошибка связана исключительно с KB5012170, обновлением для безопасной загрузки базы данных запрещенных подписей (DBX) , в которой хранятся отозванные подписи для UEFI-загрузчиков.

На прошлой неделе исследователи безопасности из Eclypsium обнаружили уязвимости в 3 подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом, который трудно обнаружить и удалить. Эксперты представили список уязвимостей в 3-ех загрузчиках:

• New Horizon Datasys Inc: CVE-2022-34302 (обход безопасной загрузки с помощью специального установщика);
• CryptoPro Secure Disk: CVE-2022-34303 (обход безопасной загрузки через выполнение UEFI Shell);
• Eurosoft (UK) Ltd: CVE-2022-34301 (обход безопасной загрузки через выполнение UEFI Shell).

Microsoft решила эту проблему, добавив сигнатуры загрузчиков в DBX Secure Boot, чтобы уязвимые UEFI-модули больше загружались.

По словам Microsoft, в системах, которые запускаются с одним из трех уязвимых загрузчиков, обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой (Secure Boot).

Microsoft перечислила затронутые платформы для обычных пользователей:

• Windows 11, version 21H2;
• Windows 10, version 21H2;
• Windows 10, version 21H1;
• Windows 10, version 20H2;
• Windows 10 Enterprise LTSC 2019;
• Windows 10 Enterprise LTSC 2016;
• Windows 10 Enterprise 2015 LTSB;
• Windows 8.1.

Затронуты также и корпоративные версии Windows:

• Windows Server 2022;
• Windows Server, version 20H2;
• Windows Server 2019;
• Windows Server 2016;
• Windows Server 2012 R2;
• Windows Server 2012.

Microsoft отмечает , что решить проблему можно, обновив UEFI до последней версии от поставщика. Исследователи из Eclypsium рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить DBX.

Специалисты предупреждают, что обновление списка DBX в системах с уязвимыми загрузчиками приведет к сбою загрузки устройства. Обновлять DBX рекомендуется только после установки на устройство ​​безопасной версии загрузчика.