Conseils pour bloquer la restauration des mises à jour de sécurité liées à la sécurité basée sur la virtualisation (VBS)

Remarque importante sur la stratégie SkuSiPolicy.p7b

Pour obtenir des instructions pour appliquer la stratégie mise à jour, consultez la section Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). 

Dans cet article

• Résumé

• Étendue de l’impact

• Atténuations disponibles

• Comprendre les risques d’atténuation

• Instructions de déploiement d’atténuation

  • ​​​​​​​Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b)

  • Mise à jour du support de démarrage externe

• Journaux d’événements Windows

  • Événements d’activation de stratégie

  • Auditer et bloquer les événements

• Procédure de suppression et de récupération de stratégie

• Modifications apportées à cet article

Résumé

Microsoft a été informé d’une vulnérabilité dans Windows qui permet à un attaquant disposant de privilèges d’administrateur de remplacer les fichiers système Windows mis à jour qui ont des versions antérieures, ouvrant ainsi la porte à un attaquant afin de supprimer les vulnérabilités de sécurité basée sur la virtualisation (VBS)..  La restauration de ces fichiers binaires peut permettre à un attaquant de contourner les fonctionnalités de sécurité VBS et d’exfiltrer les données protégées par VBS. Ce problème est décrit dans CVE-2024-21302 | Vulnérabilité d’élévation de privilèges en mode noyau sécurisé Windows.

Pour résoudre ce problème, nous révoquons les fichiers système VBS vulnérables qui ne sont pas mis à jour. En raison du grand nombre de fichiers VBS qui doivent être bloqués, nous utilisons une autre approche pour bloquer les versions de fichiers qui ne sont pas mises à jour.

Étendue de l’impact

Tous les appareils Windows qui prennent en charge VBS sont affectés par ce problème. Cela inclut les appareils physiques locaux et les machines virtuelles (VM). VBS est pris en charge sur Windows 10 et les versions ultérieures de Windows, ainsi que sur Windows Server 2016 et les versions ultérieures de Windows Server.

L’état VBS peut être vérifié via l’outil Microsoft System Information (Msinfo32.exe).. Cet outil collecte des informations sur votre appareil. Après avoir démarré Msinfo32.exe, faites défiler jusqu’à la ligne de sécurité basée sur la virtualisation . Si la valeur de cette ligne est En cours d’exécution, VBS est activé et en cours d’exécution.

L’état VBS peut également être vérifié avec Windows PowerShell à l’aide de la classe Win32_DeviceGuard WMI. Pour interroger l’état VBS à partir de PowerShell, ouvrez une session Windows PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

Après avoir exécuté la commande PowerShell ci-dessus, l’état VBS doit être l’un des suivants.

Atténuations disponibles

Pour toutes les versions prises en charge de Windows 10, la version 1507 et les versions ultérieures de Windows et Windows Server 2016 et versions Windows Server ultérieures, les administrateurs peuvent déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cela empêchera le chargement par le système d’exploitation des versions vulnérables des fichiers système VBS qui ne sont pas mis à jour.  

Lorsque SkuSiPolicy.p7b est appliqué à un appareil Windows, la stratégie est également verrouillée sur l’appareil en ajoutant une variable au microprogramme UEFI. Au démarrage, la stratégie se charge et Windows bloque le chargement des fichiers binaires qui enfreignent la stratégie. Si le verrou UEFI est appliqué et que la stratégie est supprimée ou remplacée par une version antérieure, le gestionnaire de démarrage Windows ne démarre pas ainsi que l’appareil. Cet échec de démarrage n’affiche pas d’erreur et le système passe à la prochaine option de démarrage disponible, ce qui peut entraîner une boucle de démarrage.

Une stratégie CI signée par Microsoft supplémentaire qui est activée par défaut et ne nécessite aucune étape de déploiement supplémentaire a été ajoutée, ce qui n’est pas lié à UEFI. Cette stratégie CI signée sera chargée pendant le démarrage et l’application de cette stratégie empêchera la restauration des fichiers système VBS pendant cette session de démarrage. Contrairement à SkuSiPolicy.p7b, un appareil peut continuer à démarrer si la mise à jour n’est pas installée. Cette stratégie est incluse dans toutes les versions prises en charge de Windows 10, version 1507 et ultérieures. SkuSkiPolicy.p7b peut toujours être appliqué par les administrateurs pour fournir une protection supplémentaire pour la restauration entre les sessions de démarrage.   

Les journaux de démarrage mesuré Windows utilisés pour attester de l’intégrité de démarrage du PC incluent des informations sur la version de stratégie chargée pendant le processus de démarrage. Ces journaux sont gérés en toute sécurité par le module TPM pendant le démarrage, et les services d’attestation Microsoft analysent ces journaux pour vérifier que les versions de stratégie correctes sont chargées. Les services d’attestation appliquent des règles qui garantissent qu’une version de stratégie spécifique ou une version ultérieure est chargée ; sinon, le système ne sera pas attesté comme sain.

Pour que l’atténuation de la stratégie fonctionne, la stratégie doit être mise à jour à l’aide de la mise à jour de maintenance Windows, car les composants de Windows et la stratégie doivent provenir de la même version. Si l’atténuation de la stratégie est copiée sur l’appareil, l’appareil risque de ne pas démarrer si la mauvaise version de l’atténuation est appliquée, ou si l’atténuation peut ne pas fonctionner comme prévu. En outre, les atténuations décrites dans KB5025885 doivent être appliquées à votre appareil.

Sur Windows 11, la version 24H2, Windows Server 2022 et Windows Server 23H2, Dynamic Root of Trust for Measurement (DRTM) ajoute une atténuation supplémentaire pour la vulnérabilité de restauration. Cette atténuation est activée par défaut. Sur ces systèmes, les clés de chiffrement protégées par VBS sont liées à la stratégie CI VBS de session de démarrage activée par défaut et ne sont mises hors service que si la version de stratégie CI correspondante est appliquée. Pour activer les restaurations lancées par l’utilisateur, une période de grâce a été ajoutée pour permettre une restauration sécurisée de la version 1 du package de mise à jour Windows sans perdre la possibilité de déséchanter la clé de master VSM. Toutefois, la restauration lancée par l’utilisateur n’est possible que si la SkuSiPolicy.p7b n’est pas appliquée. La stratégie CI VBS impose que tous les fichiers binaires de démarrage n’aient pas été restaurés vers des versions révoquées. Cela signifie que si un attaquant disposant de privilèges d’administrateur restaure les fichiers binaires de démarrage vulnérables, le système ne démarre pas. Si la stratégie CI et les fichiers binaires sont tous deux restaurés vers une version antérieure, les données protégées par VSM ne sont pas descellées.

Comprendre les risques d’atténuation

Vous devez être conscient des risques potentiels avant d’appliquer la stratégie de révocation signée par Microsoft. Évaluez ces risques et apportez les mises à jour nécessaires au support de récupération avant d’appliquer l’atténuation.

Remarque Ces risques s’appliquent uniquement à la stratégie SkuSiPolicy.p7b et ne s’appliquent pas aux protections activées par défaut.

• Verrouillage ueFI et désinstallation des mises à jour. Après avoir appliqué le verrou UEFI avec la stratégie de révocation signée par Microsoft sur un appareil, l’appareil ne peut pas être rétabli (en désinstallant les mises à jour Windows, à l’aide d’un point de restauration ou par d’autres moyens) si vous continuez à appliquer le démarrage sécurisé. Même le reformatage du disque ne supprime pas le verrou UEFI de l’atténuation s’il a déjà été appliqué. Cela signifie que si vous tentez de rétablir le système d’exploitation Windows à un état antérieur qui n’a pas l’atténuation appliquée, l’appareil ne démarre pas, aucun message d’erreur n’est affiché et l’UEFI passe à la prochaine option de démarrage disponible. Cela peut entraîner une boucle de démarrage. Vous devez désactiver le démarrage sécurisé pour supprimer le verrou UEFI. N’oubliez pas toutes les implications possibles et effectuez des tests approfondis avant d’appliquer les révocations décrites dans cet article à votre appareil.

• Support de démarrage externe. Une fois que les atténuations de verrouillage UEFI ont été appliquées à un appareil, le média de démarrage externe doit être mis à jour avec la dernière mise à jour de Windows installée sur l’appareil. Si le support de démarrage externe n’est pas mis à jour vers la même version de Windows Update, l’appareil risque de ne pas démarrer à partir de ce support. Consultez les instructions de la section Mise à jour du support de démarrage externe avant d’appliquer les atténuations.

• Environnement de récupération Windows. L’environnement de récupération Windows (WinRE) sur l’appareil doit être mis à jour avec la dernière mise à jour dynamique du système d’exploitation sécurisé Windows publiée le 8 juillet 2025 sur l’appareil avant l’application de SkuSipolicy.p7b à l’appareil. L’omission de cette étape peut empêcher WinRE d’exécuter la fonctionnalité Réinitialiser le PC.  Pour plus d’informations, consultez Ajouter un package de mise à jour à Windows RE.

• Démarrage de l’environnement d’exécution de prédémarreur (PXE). Si l’atténuation est déployée sur un appareil et que vous essayez d’utiliser le démarrage PXE, l’appareil ne démarre pas, sauf si la dernière mise à jour de Windows est également appliquée à l’image de démarrage du serveur PXE. Nous vous déconseillons de déployer des mesures d’atténuation sur les sources de démarrage réseau, sauf si le serveur de démarrage PXE a été mis à jour vers la dernière mise à jour windows publiée le ou après janvier 2025, y compris le gestionnaire de démarrage PXE.  

Instructions de déploiement d’atténuation

Pour résoudre les problèmes décrits dans cet article, vous pouvez déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cette atténuation n’est prise en charge que sur Windows 10, version 1507 et versions ultérieures de Windows et Windows Server 2016.

Remarque Si vous utilisez BitLocker, assurez-vous que votre clé de récupération BitLocker a été sauvegardée. Vous pouvez exécuter la commande suivante à partir d’une invite de commandes Administrateur et noter le mot de passe numérique à 48 chiffres :

Journaux d’événements Windows

Windows journalise les événements lors du chargement des stratégies d’intégrité du code, notamment SkuSiPolicy.p7b, et lorsqu’un fichier est bloqué en raison de la mise en œuvre de la stratégie. Vous pouvez utiliser ces événements pour vérifier que l’atténuation a été appliquée.

Les journaux d’intégrité du code sont disponibles dans l’observateur d'événements Windows sous Journaux d’activité d’application et de services > Microsoft > Windows > CodeIntegrity > Opérationnel > Journaux d’application et de services > Journaux de services > Microsoft > Windows > AppLocker > MSI et script.

Pour plus d’informations sur les événements d’intégrité du code, consultez le guide opérationnel Windows Defender Application Control.

Procédure de suppression et de récupération de la stratégie

Si un problème se produit après l’application de l’atténuation, vous pouvez utiliser les étapes suivantes pour supprimer l’atténuation :

1. Suspendez BitLocker s’il est activé. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

   Manager-bde -protectors -disable c: -rebootcount 3

2. Désactivez le démarrage sécurisé à partir du menu BIOS UEFI.
   
   La procédure de désactivation du démarrage sécurisé diffère entre les fabricants d’appareils et les modèles. Pour obtenir de l’aide sur l’emplacement où désactiver le démarrage sécurisé, consultez la documentation du fabricant de votre appareil. Vous trouverez plus de détails dans Désactivation du démarrage sécurisé.

3. Supprimez la stratégie SkuSiPolicy.p7b.

   1. Démarrez Windows normalement, puis connectez-vous.
      
      La stratégie SkuSiPolicy.p7b doit être supprimée de l’emplacement suivant :

      • <partition système EFI>\Microsoft\Boot\SkuSiPolicy.p7b

   2. Exécutez les commandes suivantes à partir d’une session Windows PowerShell avec élévation de privilèges pour propre stratégie à partir de ces emplacements :

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b"
      $MountPoint = 's:'
      
      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"
      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot"
      mountvol $MountPoint /S
      if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }
      
      if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }
      
      ​​​​​​​mountvol $MountPoint /D

4. Activez le démarrage sécurisé à partir du BIOS.
   
   Consultez la documentation du fabricant de votre appareil pour savoir où activer le démarrage sécurisé.
   
   Si vous avez désactivé le démarrage sécurisé à l’étape 1 et que votre lecteur est protégé par BitLocker, suspendez la protection BitLocker, puis activez le démarrage sécurisé à partir de votre menu BIOS UEFI.

5. Activer BitLocker. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

   Manager-bde -protectors -enable c:

6. Redémarrez votre appareil.