- Специальный корреспондент
11 июля 2023 года для операционной системы Windows 10 (актуальных версий) вышли очередные обновления безопасности, которые должны были закрыть уязвимость связанную с установкой драйверов, подписанных скомпроментированными сертификатами цифровой подписи. После установки этих накопительных обновлений, либо вышедших в последующие месяцы, у некоторых пользователей появились проблемы в работе устройств. Возникала ошибка с кодом 39, а в поле описания было указано, что Windows не может проверить цифровую подпись файла драйвера, так как сертификат был отозван. Эта проблема коснулась владельцев старых компьютеров, а точнее ноутбуков, так как нарушала работу Wi-Fi и/или Bluetooth.
Пример ошибки с кодом 39 для устройства Bluetooth производителя Ralink
Так стало известно, что ещё с 2018-2019 годов существовали инструменты, разработанные китайскими хакерами, позволяющие внедрить руткит в файл драйвера устройства и подписать его сертификатом с действительной цифровой подписью. Но при этом, даты подписи изменённых драйверов необходимо было выбирать до 29 июля 2015 года. Злоупотребления обнаружили эксперты Sophos, Cisco Talos и Trend Micro. Были выявлены десятки поддельных сертификатов, которыми были подписаны сотни драйверов с внедрённым вредоносным кодом. В данной ситуации компания Microsoft решила отозвать старые сертификаты (до указанной выше даты), путём включения в июльский пакет обновления CRL (certificate revocation list - отзывной список сертификатов).
Я владею ноутбуком HP Probook 4540s - модель из "бизнес серии", выпускавшаяся в 2012 году - старенький, тяжеленький, но меня устраивает. На нём тестирую свои сборки ОС семейства Windows. Хоть слово "сборка" иногда воспринимается негативно, но ничего противоестественного с образом WIM не делаю. Так, с помощью штатного инструмента DISM и своих скриптов, отключаю некоторые ненужные функции, удаляю "магазинные приложения", включаю .NET Framework 3.5 и интегрирую обновления. Всё это успешно делалось много лет, с периодичностью раз в год и не вызывало проблем. Очередная моя "сборка" устанавливалась на этот ноутбук и успешно проходила тест на работоспособность. Но этой зимой так не получилось.
Начал разбираться в проблеме и итерационным путём выяснять в каком же месяце в течение 2023 года вышли обновления нарушающие работу устройств. И выяснил! Сборка Windows 10 с интеграцией обновлений за июнь 2023 года является полностью рабочей, а с обновлениями за июль 2023 года - уже нет. Но тут же возникает опасность, что дай ОС выход в Интернет - она тут же обновится и станет нерабочей. Пробовал сделать сборку Windows 10 Enterprise LTSC 2019 (v1809) с интеграцией обновлений по январь 2024 года. Результат несколько лучше - не работал только Blurtooth. И опять же, итерационным путём выяснил, что крайние рабочие обновления были за июнь 2023 года.
Второе, что могло помочь судя по информации из различных источников в Интернете, это модификация сценария загрузки Windows, таким образом, чтобы ОС всегда загружалась в тестовом режиме с отключением цифровой подписи драйверов. При этом в углу экрана присутствовала бы надпись уведомляющая об этом. Это решение показалось мне "некрасивым", поэтому даже не стал его пробовать. Кто знает: есть ли какие-либо ограничения в работе ОС в тестовом режиме?
Я выбрал третий вариант: "досрочный" End of Support для используемых мною для создания своих сборок версий Windows 10. Собрал сборки с интеграцией накопительных обновлений по июнь 2023 года и на этом всё, финиш! Хотя всё же вложил последние зимние обновления .NET Framework 4.8 так как они ничего не портят. Также отключил с помощью локальных политик автоматическую проверку и установку обновлений. Соответствующий твик реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
;Отключить автоматическое обновление Windows
"NoAutoUpdate"=dword:00000001
Можно было бы отключить и службу Центра обновлений Windows, но тогда бы была утрачена возможность устанавливать драйверы устройств из репозитория Microsoft. При этом в интерфейсе настроек Windows остаётся кнопка Проверить обновления, нажатие на которую при доступе в Интернет приводит не только к проверке, но и к скачиванию и установке.
Я считаю, что пользователь является собственником своего компьютера и должен иметь возможность принимать на себя риски, чтобы решать, допускать ли работу устройств с вероятностью присутствия руткита в драйвере или нет.
Пример ошибки с кодом 39 для устройства Bluetooth производителя Ralink
Предыстория появления проблемы
В июне 2021 года здесь на Хабре появилась новость о том, что . Там была ссылка на англоязычную статью специалиста по информационной безопасности компании G Data - Карстена Хана, где указывалось, что обнаружен руткит в драйвере, подписанный сертификатом с действительной цифровой подписью. Своё внимание к обнаруженной проблеме направили и другие специалисты в данной сфере. Изучение и понимание ситуации заняло пару лет, после чего в июле 2023 года здесь на Хабре появилась новость о том, что . Тут уже представлена расширенная информация об обнаруженной ранее проблеме и какое решение приняла Microsoft.Так стало известно, что ещё с 2018-2019 годов существовали инструменты, разработанные китайскими хакерами, позволяющие внедрить руткит в файл драйвера устройства и подписать его сертификатом с действительной цифровой подписью. Но при этом, даты подписи изменённых драйверов необходимо было выбирать до 29 июля 2015 года. Злоупотребления обнаружили эксперты Sophos, Cisco Talos и Trend Micro. Были выявлены десятки поддельных сертификатов, которыми были подписаны сотни драйверов с внедрённым вредоносным кодом. В данной ситуации компания Microsoft решила отозвать старые сертификаты (до указанной выше даты), путём включения в июльский пакет обновления CRL (certificate revocation list - отзывной список сертификатов).
Последствия для пользователей
Если вы обладатель нового стационарного компьютера или ноутбука, выпущенного после 2015 года, то скорее всего входящие в него устройства работают под управлением таких же "свежих" драйверов. Вам не о чем беспокоится и установка очередных накопительных обновлений Windows 10, отзывающих какие-то там сертификаты для старых устройств, пройдёт для вам незамеченной. Но если ваш ПК более "древний", то после установки очередных накопительных обновлений Windows 10, вышедших в июле 2023 года или позже могут возникнуть проблем в работе устройств, так как ОС не допустить в работу драйвер с отозванной цифровой подписью.Я владею ноутбуком HP Probook 4540s - модель из "бизнес серии", выпускавшаяся в 2012 году - старенький, тяжеленький, но меня устраивает. На нём тестирую свои сборки ОС семейства Windows. Хоть слово "сборка" иногда воспринимается негативно, но ничего противоестественного с образом WIM не делаю. Так, с помощью штатного инструмента DISM и своих скриптов, отключаю некоторые ненужные функции, удаляю "магазинные приложения", включаю .NET Framework 3.5 и интегрирую обновления. Всё это успешно делалось много лет, с периодичностью раз в год и не вызывало проблем. Очередная моя "сборка" устанавливалась на этот ноутбук и успешно проходила тест на работоспособность. Но этой зимой так не получилось.
Мой опыт обнаружения проблемы
В декабре 2023 года сделал свою сборку Windows 10 Enterprise LTSB 2016 (v1607), установил на свой ноутбук и после обновления драйверов обнаружил, что Wi-Fi и Bluetooth не работают. Причиной были ошибки описанные в начале статьи и ссылающиеся на отсутствующие (отозванные) сертификаты драйверов. Попробовал установить сборку этой же версии Windows 10, но сделанную мной годом ранее - всё работает с этими же драйверами. Однако, загрузка и установка обновлений из Центра обновлений Microsoft, после перезагрузки приводит к тому же результату. Подумал, что обновления в декабре выдались "неудачными" и решил подождать января. Подождал - то же самое.Начал разбираться в проблеме и итерационным путём выяснять в каком же месяце в течение 2023 года вышли обновления нарушающие работу устройств. И выяснил! Сборка Windows 10 с интеграцией обновлений за июнь 2023 года является полностью рабочей, а с обновлениями за июль 2023 года - уже нет. Но тут же возникает опасность, что дай ОС выход в Интернет - она тут же обновится и станет нерабочей. Пробовал сделать сборку Windows 10 Enterprise LTSC 2019 (v1809) с интеграцией обновлений по январь 2024 года. Результат несколько лучше - не работал только Blurtooth. И опять же, итерационным путём выяснил, что крайние рабочие обновления были за июнь 2023 года.
Мой опыт решения проблемы
Первое, что пришло в голову, чтобы обойти проверку цифровой подписи драйверов устройств это отключить с помощью Локальных политик возможность такой проверки. Всё просто - выполнил gpedit.msc и через редактор локальной групповой политики нашел соответствующий параметр в одном из разделов Административных шаблонов в Конфигурации компьютера и включил его. Даже, с помощью утилиты RegShot вычислил соответствующий твик реестра. Перегрузил и обнаружил, что решение оказалось нерабочим. Видимо в используемой версии Windows 10 данный параметр игнорируется.Второе, что могло помочь судя по информации из различных источников в Интернете, это модификация сценария загрузки Windows, таким образом, чтобы ОС всегда загружалась в тестовом режиме с отключением цифровой подписи драйверов. При этом в углу экрана присутствовала бы надпись уведомляющая об этом. Это решение показалось мне "некрасивым", поэтому даже не стал его пробовать. Кто знает: есть ли какие-либо ограничения в работе ОС в тестовом режиме?
Я выбрал третий вариант: "досрочный" End of Support для используемых мною для создания своих сборок версий Windows 10. Собрал сборки с интеграцией накопительных обновлений по июнь 2023 года и на этом всё, финиш! Хотя всё же вложил последние зимние обновления .NET Framework 4.8 так как они ничего не портят. Также отключил с помощью локальных политик автоматическую проверку и установку обновлений. Соответствующий твик реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
;Отключить автоматическое обновление Windows
"NoAutoUpdate"=dword:00000001
Можно было бы отключить и службу Центра обновлений Windows, но тогда бы была утрачена возможность устанавливать драйверы устройств из репозитория Microsoft. При этом в интерфейсе настроек Windows остаётся кнопка Проверить обновления, нажатие на которую при доступе в Интернет приводит не только к проверке, но и к скачиванию и установке.
Мнение о решении Microsoft
Наверное, высшее руководство M$ считает, что компьютеры и ноутбуки старше 10 лет должны быть выкинуты пользователями на свалку, а взамен них куплены новые. Возможно, пользователи ноутбуков должны обратиться в специализированные мастерские, где им вскрыв корпус заменять плату комбинированного модуля Wi-Fi/Bluetooth на более новую со "свежими" драйверами.Я считаю, что пользователь является собственником своего компьютера и должен иметь возможность принимать на себя риски, чтобы решать, допускать ли работу устройств с вероятностью присутствия руткита в драйвере или нет.
