Conseils Microsoft pour l’application de la mise à jour DBX de démarrage sécurisé

Consultez les produits auxquels cet article s’applique.

Résumé

Le 29 juillet 2020, Microsoft a publié l’avis de sécurité 200011 qui décrit une nouvelle vulnérabilité liée au démarrage sécurisé. Les appareils qui font confiance à l’autorité de certification Microsoft tierce UEFI (Unified Extensible Firmware Interface) dans leur configuration de démarrage sécurisé peuvent être exposés à un attaquant qui a des privilèges d’administration ou un accès physique à l’appareil.

Cet article fournit des conseils pour appliquer la dernière liste de révocation du démarrage sécurisé (DBX) pour invalider les modules vulnérables. Microsoft prévoit de placer une mise à jour sur Windows Update pour remédier à cette vulnérabilité après des tests supplémentaires en 2021.

Les fichiers binaires de mise à jour du démarrage sécurisé sont hébergés sur https://uefi.org/revocationlistfile.

Les fichiers mis en ligne sont les suivants :

  • Fichier de la liste de révocation UEFI pour x86 (32 bits)

  • Fichier de la liste de révocation UEFI pour x64 (64 bits)

  • Fichier de la liste de révocation UEFI pour arm64

Une fois ces hachages ajoutés au démarrage sécurisé DBX sur votre appareil, ces applications ne seront plus autorisées à charger.

Important Ce site héberge des fichiers pour toute architecture. Chaque fichier hébergé inclut uniquement les hachages d’applications qui s’appliquent à l’architecture spécifique. Vous devez appliquer l’un de ces fichiers à chaque appareil, mais assurez-vous d’appliquer le fichier pertinent pour son architecture. Bien qu’il soit techniquement possible d’appliquer une mise à jour pour une architecture différente, le fait de ne pas installer la mise à jour appropriée laissera l’appareil sans protection.

Attention


Veuillez lire l’article principal de conseils sur cette vulnérabilité avant d’essayer l’une de ces étapes. Une application incorrecte des mises à jour DBX peut empêcher votre appareil de démarrer.

Vous ne devez suivre les étapes suivantes que si les conditions suivantes sont remplies :
 

  • Vous avez vérifié que votre appareil fait confiance à l’autorité de certification tierce UEFI dans votre configuration de démarrage sécurisé.

  • Pour ce faire, exécutez la ligne PowerShell suivante à partir d’une session PowerShell administrative :

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'

  • Vous ne comptez sur le lancement d’aucune des applications de démarrage qui sont bloquées par cette mise à jour.

Informations supplémentaires

Application d’une mise à jour DBX sur Windows

Après avoir lu les avertissements et vérifié que votre appareil est compatible, procédez comme suit pour mettre à jour le démarrage sécurisé DBX :

  1. Téléchargez le fichier approprié de la liste de révocation UEFI (Dbxupdate.bin) pour votre plate-forme à partir de https://uefi.org/revocationlistfile.

  2. Vous devrez diviser le fichier Dbxupdate.bin en composants nécessaires pour les appliquer à l’aide des applets de commande PowerShell. Pour cela, procédez comme suit :

    1. Téléchargez le script PowerShell à partir de https://aka.ms/DbxSplitScript.

    2. Exécutez le script PowerShell suivant sur le fichier Dbxupdate.bin : SplitDbxAuthInfo.ps1 “c:\path\to\file\dbxupdate.bin”

    3. Vérifiez que la commande a créé les fichiers suivants :

      • Content.bin – contenu de la mise à jour

      • Signature.p7 – signature autorisant le processus de mise à jour

  3. Dans une session PowerShell administrative, exécutez l’applet de commande Set-SecureBootUefi pour appliquer la mise à jour DBX :

    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite

  4. Redémarrez l’appareil pour terminer le processus

Pour plus d’informations sur l’applet de commande de la configuration du démarrage sécurisé et sur la façon de l’utiliser pour les mises à jour DBX, voir Set-Secure

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×