Windows ユーザーは、先週のセキュア ブートのセキュリティ更新プログラムをインストールした後に BitLocker の問題が発生したと報告しています。
これらの問題は、セキュアブートの脆弱性を解消するために設計されたKB5012170に関連しています。これは、Unified Extensible Firmware Interface(UEFI)ファームウェアを搭載したキットを実行しているユーザーにとって重要です。Microsoftは、「セキュアブートにセキュリティ機能バイパスの脆弱性が存在します」と述べています。「この脆弱性を悪用した攻撃者は、セキュアブートをバイパスし、信頼されていないソフトウェアをロードする可能性があります。」
このパッチは、既知の脆弱な UEFI モジュールの署名をセキュア ブート禁止署名データベース (DBX) に追加します。
残念ながら、どうやらそれ以上の問題があるようです。既知の問題の中には、一部のOEMファームウェアでは更新プログラムのインストールが許可されないという警告が潜んでいます。また、特定のBitLockerグループポリシー構成では更新プログラムのインストールに失敗したり、エラーが0x800f0922表示されたりする可能性があります。
さらに、BitLocker 回復がトリップする問題もありますが、これは現時点では既知の問題としては記載されていません。
この問題は起動時に発生し、ユーザーがキーを入力する必要がある BitLocker 回復画面が表示されます。
数人のユーザーが、魔法のキーを提供しなければコンピューターが起動できないことに気づき、残念なことにおなじみの不満の高まりが始まった。
読者から送られてきたスクリーンショット
Register の読者である Anthony 氏から連絡があり、彼の会社が管理する 400 台の PC のうち、2 パーセント (すべて Windows 11) がアップデート後に BitLocker 回復画面で起動したと聞きました。
- マイクロソフトの「データ破損」リスク修正がPCパフォーマンスに影響
- AMD、RyzenチップのWindows 10、11でのパフォーマンスの不安定さを認める
- MFAバグによりMicrosoftアカウントがロックアウトされたユーザーが、顧客に敵対的なサポートに不満を訴える
- AzureがクラウドVM向けの無料仮想トラステッドプラットフォームモジュールをリリース
「ユーザーがキーを持っていない場合、回避する方法はないようですが、ほとんどの場合はそうなります。」
BitLockerは、データの安全性を確保するためのドライブ暗号化機能です。回復プロセスではデータへのアクセスを復元しますが、ユーザーは長いパスワードを入力する必要があります(または、ドメイン管理者がActive Directoryドメインサービス経由でパスワードを取得することもできます)。Anthony氏は、Azureにログインして回復キーを取得できたと報告しています。
「これは一般ユーザーには到底できない類のことだ」と彼は言った。「中には簡単にできる人もいれば、どのコンピュータにどのライセンスが割り当てられているかを突き止めるのに苦労する人もいる」
パッチが問題を引き起こした原因については、攻撃の試みを除外すれば、様々な可能性が考えられます。MicrosoftがBitLockerのドキュメントで挙げている潜在的な原因の一つは、「BIOSやUEFIファームウェアのアップグレードなど、起動初期段階の重要なコンポーネントのアップグレードにより、関連するブート測定が変化する」というものです。
The Register はMicrosoft に説明を求めており、同社からの回答があれば更新します。
とりあえず、アップデートボタンを押す前に、少なくとも回復キーの入手方法を知っておくと良いでしょう。念のため。®
