KB5025885 : comment gérer les révocations du Gestionnaire de démarrage Windows pour les modifications de démarrage sécurisé associées à CVE-2023-24932

Dans cet article

• Résumé

  • Procédure à suivre

  • Étendue de l’impact

  • Comprendre les risques

  • Problèmes connus

• Instructions pour cette version

• Instructions de déploiement d’atténuation

• Média démarrable

• Mise à jour du support d’installation Windows

• Calendrier des mises à jour

• Erreurs du journal des événements Windows liées à CVE-2023-24932

• Forum aux questions (FAQ)

• Dépannage des problèmes de démarrage

• Procédure de récupération

• Références

• Journal des modifications

Résumé

Cet article décrit la protection contre le contournement de la fonctionnalité de sécurité de démarrage sécurisé divulgué publiquement qui utilise le kit de démarrage UEFI BlackLotus suivi par CVE-2023-24932, comment activer les atténuations et des conseils sur les supports de démarrage. Un kit de démarrage est un programme malveillant conçu pour se charger le plus tôt possible dans une séquence de démarrage d’appareils pour contrôler le démarrage du système d’exploitation.

Démarrage sécurisé est recommandé par Microsoft pour créer un chemin sûr et fiable à partir de l'interface UEFI (Unified Extensible Firmware Interface) via la séquence de démarrage sécurisée du noyau Windows. Secure Boot aide à empêcher les logiciels malveillants de bootkit dans la séquence de démarrage. La désactivation du démarrage sécurisé expose un appareil au risque d’être infecté par un programme malveillant bootkit. La correction du contournement du démarrage sécurisé décrit dans CVE-2023-24932 nécessite la révocation des gestionnaires de démarrage. Cela peut entraîner des problèmes pour certaines configurations de démarrage d’appareil.

Des mesures d'atténuation contre le contournement du démarrage sécurisé détaillé dans CVE-2023-24932 sont incluses dans les mises à jour de sécurité Windows publiées le 9 avril 2024 ou après. Toutefois, ces atténuations ne sont pas activées par défaut. Avec ces mises à jour, nous vous recommandons de commencer à évaluer ces modifications au sein de votre environnement. La planification complète est décrite dans la section Minutage des mises à jour .

Avant d’activer ces atténuations, vous devez examiner attentivement les détails de cet article et déterminer si vous devez activer les atténuations ou attendre une prochaine mise à jour de Microsoft. Si vous choisissez d’activer les atténuations, vous devez vérifier que vos appareils sont mis à jour et prêts, et comprendre les risques décrits dans cet article. 

Instructions pour cette version

Pour cette version, suivez ces deux étapes.

Étape 1 : installer la mise à jour de sécurité Windows

Installer la mise à jour de sécurité mensuelle Windows publiée le 9 juillet 2024 ou après, sur les appareils Windows pris en charge. Ces mises à jour incluent des atténuations pour CVE-2023-24932 mais ne sont pas activés par défaut. Tous les appareils Windows doivent effectuer cette étape, que vous prévoyiez ou non de déployer les atténuations.

Étape 2 : Évaluer les modifications

. Nous vous encourageons à effectuer les opérations suivantes :

• Découvrez les deux premières atténuations qui permettent de mettre à jour la base de données de démarrage sécurisé et de mettre à jour le gestionnaire de démarrage.

• Passez en revue la planification mise à jour.

• Commencez à tester les deux premières atténuations sur les appareils représentatifs de votre environnement.

• Commencez à planifier le déploiement.

Étape 3 : Appliquer les modifications

Nous vous encourageons à comprendre les risques décrits dans la section Comprendre les risques .

• Comprendre l’impact sur la récupération et d’autres supports de démarrage.

• Commencez à tester la troisième atténuation qui déstruise le certificat de signature utilisé pour tous les gestionnaires de démarrage Windows précédents.

Instructions de déploiement d’atténuation

Avant de suivre ces étapes pour appliquer les mesures d'atténuation, installez la mise à jour mensuelle de maintenance de Windows publiée à partir du 9 juillet 2024, sur les appareils Windows pris en charge. Cette mise à jour inclut des atténuations pour CVE-2023-24932, mais elles ne sont pas activées par défaut. Tous les appareils Windows doivent effectuer cette étape, quel que soit votre plan d’activation des atténuations.

Pour déployer la mise à jour et appliquer les révocations, procédez comme suit :

1. Installez les définitions de certificat mises à jour dans la base de données.

   Cette étape ajoute le certificat « Windows UEFI CA 2023 » à la base de données UEFI « Base de données de signature de démarrage sécurisé ». En ajoutant ce certificat à la base de données, le microprogramme de l’appareil approuvera les applications de démarrage signées par ce certificat.

   1. Ouvrez une invite de commandes Administrateur et définissez la regkey pour effectuer la mise à jour vers la base de données en entrant la commande suivante :

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      IMPORTANT Veillez à redémarrer l’appareil deux fois pour terminer l’installation de la mise à jour avant de passer aux étapes 2 et 3.

   2. Exécutez la commande PowerShell suivante en tant qu’administrateur et vérifiez que la base de données a bien été mise à jour. Cette commande doit retourner True.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

2. Mettez à jour le Gestionnaire de démarrage sur votre appareil.

   Cette étape installe une application de gestionnaire de démarrage sur votre appareil qui est signée avec le certificat « Windows UEFI CA 2023 ».

   1. Ouvrez une invite de commandes administrateur et définissez la regkey pour installer le gestionnaire de démarrage signé « Windows UEFI CA 2023 » :

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

   2. Redémarrez l’appareil deux fois.

   3. En tant qu’administrateur, montez la partition EFI pour la préparer à l’inspection :

      mountvol s: /s

   4. Vérifiez que le fichier « s :\efi\microsoft\boot\bootmgfw.efi » est signé par le certificat « Windows UEFI CA 2023 ». Pour ce faire, procédez comme suit :

      1. Cliquez sur Démarrer, tapez invite de commandes dans la zone Rechercher , puis cliquez sur Invite de commandes.

      2. Dans la fenêtre d’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée.

         copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. Dans le Gestionnaire de fichiers, cliquez avec le bouton droit sur le fichier C :\bootmgfw_2023.efi, cliquez sur Propriétés, puis sélectionnez l’onglet Signatures numériques.

      4. Dans la liste des signatures, vérifiez que la chaîne de certificats inclut Windows UEFI CA 2023. La chaîne de certificats doit correspondre à la capture d’écran suivante :
         
         

3. Activez la révocation.

   La liste d’exclusion UEFI (DBX) est utilisée pour empêcher le chargement des modules UEFI non approuvés. Dans cette étape, la mise à jour du DBX ajoute le certificat « Autorité de certification de production Windows 2011 » au DBX. Ainsi, tous les gestionnaires de démarrage signés par ce certificat ne seront plus approuvés.

   AVERTISSEMENT: avant d’appliquer la troisième atténuation, créez un lecteur flash de récupération qui peut être utilisé pour démarrer le système. Pour plus d’informations sur la procédure à suivre, consultez la section Mise à jour du support d’installation de Windows.

   Si votre système passe à un état non démarrable, suivez les étapes décrites dans la section Procédure de récupération pour réinitialiser l’appareil à un état de pré-révocation.

   1. Ajoutez le certificat « Windows Production PCA 2011 » à la liste DBX (Secure Boot UEFI Forbidden List). Pour ce faire, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur, tapez la commande suivante, puis appuyez sur Entrée :

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

   2. Redémarrez l’appareil deux fois et vérifiez qu’il a entièrement redémarré.

   3. Vérifiez que la liste d’installation et de révocation a été correctement appliquée en recherchant l’événement 1037 dans le journal des événements.
      
      Pour plus d’informations sur l’événement 1037, consultez KB5016061 : événements de mise à jour des variablesDB et DBX de démarrage sécurisé. Vous pouvez également exécuter la commande PowerShell suivante en tant qu’administrateur et vérifier qu’elle retourne True:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' 

4. Appliquez la mise à jour SVN au microprogramme.
   
   Le Gestionnaire de démarrage déployé à l’étape 2 dispose d’une nouvelle fonctionnalité de révocation automatique intégrée. Lorsque le gestionnaire de démarrage commence à fonctionner, il effectue une vérification automatique en comparant le numéro de version sécurisé (SVN) stocké dans le microprogramme avec le SVN intégré au gestionnaire de démarrage. Si le SVN du gestionnaire de démarrage est inférieur au SVN stocké dans le microprogramme, le gestionnaire de démarrage refusera de s'exécuter. Cette fonctionnalité empêche un attaquant de ramener le gestionnaire de démarrage à une version plus ancienne et non mise à jour.
   
   Dans de futures mises à jour, lorsqu'un problème de sécurité important sera corrigé dans le gestionnaire de démarrage, le numéro SVN sera incrémenté à la fois dans le gestionnaire de démarrage et dans la mise à jour du micrologiciel. Les deux mises à jour seront publiées dans la même mise à jour cumulative pour s’assurer que les appareils corrigés sont protégés. Chaque fois que le SVN est mis à jour, tous les supports de démarrage doivent être mis à jour.
   ​​​​​​​
   À partir des mises à jour du 9 juillet 2024, le SVN est incrémenté dans le gestionnaire de démarrage et la mise à jour du micrologiciel. La mise à jour du microprogramme est facultative et peut être appliquée en procédant comme suit :

   1. Ouvrez une invite de commande administrateur et exécutez la commande suivante pour installer le gestionnaire de démarrage signé « Windows UEFI CA 2023 » :

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

   2. Redémarrez l’appareil deux fois.

Média démarrable

Il est important de mettre à jour le média de démarrage une fois que la phase de déploiement commence dans votre environnement.

Des conseils sur la mise à jour des supports de démarrage seront fournis dans les prochaines mises à jour de cet article. Consultez la section suivante pour créer un lecteur USB pour récupérer un appareil.

Mise à jour du support d’installation Windows

Vous pouvez utiliser l’application Créer un lecteur de récupération en procédant comme suit. Ce média peut être utilisé pour réinstaller un appareil en cas de problème majeur tel qu'une panne matérielle, où vous pourrez utiliser le lecteur de récupération pour réinstaller Windows.

1. Allez sur un appareil où les mises à jour du 9 juillet 2024 et la première étape d'atténuation (mise à jour de la base de données de démarrage sécurisé) ont été appliquées.

2. Dans le menu Démarrer, recherchez l'applet du panneau de configuration « Créer un lecteur de récupération » et suivez les instructions pour créer un lecteur de récupération.

3. Une fois le lecteur flash nouvellement créé monté (par exemple, en tant que lecteur « D : »), exécutez les commandes suivantes en tant qu’administrateur. Tapez chacune des commandes suivantes, puis appuyez sur Entrée :

   COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

   bcdboot c:\windows /f UEFI /s D: /bootex

   COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Si vous gérez les supports installables dans votre environnement à l’aide du support d’installation de mise à jour Windows avec des instructions de mise à jour dynamique, procédez comme suit. Ces étapes supplémentaires permettront de créer un lecteur flash amorçable qui utilise des fichiers d'amorçage signés par le certificat de signature « Windows UEFI CA 2023 ».

1. Allez sur un appareil où les mises à jour du 9 juillet 2024 et la première étape d'atténuation (mise à jour de la base de données Secure Boot) ont été appliquées.

2. Suivez les étapes décrites dans le lien ci-dessous pour créer un média avec les mises à jour du 9 juillet 2024. Mettre à jour le support d’installation de Windows avec la mise à jour dynamique

3. Placez le contenu du média sur une clé USB et montez le lecteur de pouce sous forme de lettre de lecteur. Par exemple, montez le lecteur curseur en tant que « D : ».

4. Exécutez les commandes suivantes à partir d’une fenêtre de commande en tant qu’administrateur. Tapez chacune des commandes suivantes, puis appuyez sur Entrée.

   COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

   bcdboot c:\windows /f UEFI /s D: /bootex

   COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Si les paramètres de démarrage sécurisé d’un appareil sont réinitialisés aux paramètres par défaut après l’application des atténuations, l’appareil ne démarre pas. Pour résoudre ce problème, une application de réparation est incluse dans les mises à jour du 9 juillet 2024 et peut être utilisée pour réappliquer le certificat « Windows UEFI CA 2023 » à la base de données (mesure d'atténuation n° 1).

1. Accédez à un appareil sur lequel les mises à jour du 9 juillet 2024 ont été appliquées.

2. Dans une fenêtre de commande, copiez l’application de récupération sur le lecteur flash à l’aide des commandes suivantes (en supposant que le lecteur flash est le lecteur « D : »). Tapez chaque commande séparément, puis appuyez sur la touche Entrer:

   md D:\EFI\BOOT

   copy C:\windows\boot\efi\securebootrecovery.efi

   D:\EFI\BOOT\bootx64.efi

3. Sur l’appareil sur lequel les paramètres de démarrage sécurisé sont réinitialisés aux valeurs par défaut, insérez le lecteur flash, redémarrez l’appareil et démarrez à partir du lecteur flash.

Calendrier des mises à jour

Les mises à jour sont publiées comme suit :

• Déploiement initial Cette phase a commencé avec les mises à jour publiées le 9 mai 2023 et a fourni des mesures d'atténuation de base avec des étapes manuelles pour activer ces mesures d'atténuation.

• Deuxième déploiement Cette phase a commencé par des mises à jour publiées le 11 juillet 2023, qui ont ajouté des étapes simplifiées pour activer les mesures d'atténuation du problème.

• Phase d’évaluation Cette phase commencera le 9 avril 2024 et ajoutera des atténuations supplémentaires du gestionnaire de démarrage.

• Phase de déploiement C’est à ce moment-là que nous encourageons tous les clients à commencer à déployer les atténuations et à mettre à jour les supports.

• phase de mise en conformité Phase de mise en œuvre qui rend les atténuations permanentes. La date de cette phase sera annoncée ultérieurement.

Remarque La planification de publication peut être modifiée en fonction des besoins.

Erreurs du journal des événements Windows liées à CVE-2023-24932

Les entrées du journal des événements Windows relatives à la mise à jour de la base de données et de la base de données sont décrites en détail dans KB5016061 : événements de mise à jour des variablesDB et DBX de démarrage sécurisé.

Les événements de « réussite » liés à l’application des atténuations sont répertoriés dans le tableau suivant.

Forum aux questions (FAQ)

Dépannage des problèmes de démarrage

Une fois les trois atténuations appliquées, le microprogramme de l’appareil ne démarre pas à l’aide d’un gestionnaire de démarrage signé par Windows Production PCA 2011. Les échecs de démarrage signalés par le microprogramme sont spécifiques à l’appareil. Reportez-vous à la section Procédure de récupération .

Procédure de récupération

Si un problème se produit lors de l’application des atténuations et que vous ne parvenez pas à démarrer votre appareil ou que vous devez démarrer à partir d’un média externe (par exemple, un lecteur de pouce ou un démarrage PXE), essayez les suggestions suivantes :

1. Désactivez le démarrage sécurisé.
   
   Cette procédure diffère entre les fabricants d’appareils et les modèles. Entrez le menu BIOS UEFI de vos appareils, accédez aux paramètres de démarrage sécurisé et désactivez-le. Consultez la documentation du fabricant de votre appareil pour plus de précisions sur ce processus. Vous trouverez plus de détails dans La désactivation du démarrage sécurisé.

2. Réinitialisez les clés de démarrage sécurisé aux paramètres d’usine par défaut.

   Si l’appareil prend en charge la réinitialisation des clés de démarrage sécurisées aux paramètres d’usine par défaut, effectuez cette action maintenant.

   REMARQUE Certains fabricants d’appareils disposent à la fois d’une option « Effacer » et d’une option « Réinitialiser » pour les variables de démarrage sécurisé, auquel cas « Réinitialiser » doit être utilisé. L’objectif est de replacer les variables de démarrage sécurisé aux valeurs par défaut des fabricants.

   Votre appareil doit démarrer maintenant, mais notez qu’il est vulnérable aux programmes malveillants du kit de démarrage. Veillez à effectuer l’étape 5 de ce processus de récupération pour réactiver le démarrage sécurisé.

3. Essayez de démarrer Windows à partir du disque système.

   1. Connexion à Windows.

   2. Exécutez les commandes suivantes à partir d’une invite de commandes Administrateur pour restaurer les fichiers de démarrage dans la partition de démarrage système EFI. Tapez chaque commande séparément, puis appuyez sur la touche Entrer:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

   3. L’exécution de BCDBoot retourne « Fichiers de démarrage créés avec succès ». Une fois ce message affiché, redémarrez l’appareil sur Windows.

4. Si l’étape 3 ne parvient pas à récupérer l’appareil, réinstallez Windows.

   1. Démarrez l’appareil à partir d’un support de récupération existant.

   2. Procédez à l’installation de Windows à l’aide du support de récupération.

   3. Connexion à Windows.

   4. Redémarrez Windows pour vérifier que l’appareil redémarre vers Windows.

5. Réactivez le démarrage sécurisé et redémarrez l’appareil.
   
   Entrez le menu UEFI de l’appareil, accédez aux paramètres de démarrage sécurisé et activez-le. Consultez la documentation du fabricant de votre appareil pour plus de précisions sur ce processus. Vous trouverez plus d’informations dans la section « Réactiver le démarrage sécurisé ».

Références

• Conseils pour enquêter sur les attaques utilisant CVE-2022-21894 : la campagne BlackLotus

• Démarrage sécurisé

• Activer le démarrage sécurisé sur les appareils Windows inscrits

• Pour les événements générés lors de l’application de mises à jour DBX, consultez KB5016061 : résolution des gestionnaires de démarrage vulnérables et révoqués.