Обновление Windows KB5012170 Secure Boot DBX может завершиться ошибкой 0x800f0922

Windows - FAQ - секреты - советы - инструкции

Компания Microsoft предупреждает, что пользователи могут увидеть ошибку 0x800f0922 при попытке установить обновление безопасности Windows KB5012170 Secure Boot на поддерживаемые в настоящее время операционные системы для потребителей и версии Server корпоративного класса.

Проблема не затрагивает кумулятивные обновления безопасности, ежемесячные сворачивания или обновления только для безопасности, которые Microsoft сделала доступными 9 августа.

Проблемы с загрузчиком

Ошибка 0x800f0922 связана исключительно с KB5012170, обновлением безопасности для Secure Boot DBX (Forbidden Signature Database), хранилища, в котором хранятся отмененные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).

Загрузчик UEFI запускается сразу после включения системы и отвечает за запуск среды UEFI с функцией Secure Boot, которая позволяет выполнять только доверенный код при запуске процесса загрузки Windows.

На прошлой неделе исследователи безопасности из Eclypsium раскрыли уязвимости в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции Secure Boot и заражения системы вредоносным кодом, который трудно обнаружить и удалить.

Три пакета:

  • New Horizon Datasys Inc:  CVE-2022-34302  (обход безопасной загрузки с помощью специального установщика)
  • КриптоПро Secure Disk:  CVE-2022-34303  (обход безопасной загрузки через выполнение UEFI Shell)
  • Eurosoft (UK) Ltd:  CVE-2022-34301  (обход безопасной загрузки через выполнение UEFI Shell)

Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться.

Microsoft говорит, что в системах, которые запускаются с одним из трех отозванных загрузчиков,   обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.

Microsoft перечисляет следующие затронутые платформы:

  • Клиент: Windows 11, версия 21H2; Windows 10, версия 21H2; Windows 10, версия 21H1; Windows 10, версия 20H2; Windows 10 Корпоративная LTSC 2019; Windows 10 Корпоративная с долгосрочным долгосрочным обслуживанием 2016 г.; Windows 10 Корпоративная 2015 LTSB; Windows 8.1
  • Сервер: Windows Server 2022; Windows Server, версия 20H2; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Виндовс Сервер 2012

Обновление загрузчика устраняет ошибку 0x800f0922

Microsoft отмечает, что решить проблему можно, обновив версию UEFI до последней версии от поставщика.

Исследователи из Eclypsium рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить список отзыва DBX.

Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.

Исследователи предупреждают, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.

Обновлять DBX рекомендуется только после того, как вы убедитесь, что на устройстве установлена ​​неуязвимая версия загрузчика от производителя.

Последнее обновление 05.01.2023