Microsoft a publié un script PowerShell pour aider les utilisateurs et les administrateurs Windows à mettre à jour le support de démarrage afin qu’il utilise le nouveau certificat « Windows UEFI CA 2023 » avant que les atténuations du kit de démarrage UEFI BlackLotus ne soient appliquées plus tard cette année.
BlackLotus est un kit de démarrage UEFI qui peut contourner le démarrage sécurisé et prendre le contrôle du processus de démarrage du système d’exploitation. Une fois en contrôle, BlackLotus peut désactiver les fonctionnalités de sécurité Windows, telles que BitLocker, l’intégrité du code protégé par l’hyperviseur (HVCI) et l’antivirus Microsoft Defender, ce qui lui permet de déployer des logiciels malveillants au niveau de privilège le plus élevé tout en restant non détecté.
En mars 2023 puis en juillet 2024, Microsoft a publié des mises à jour de sécurité pour un contournement de démarrage sécurisé suivi sous le nom de CVE-2023-24932 qui révoque les gestionnaires de démarrage vulnérables utilisés par BlackLotus.
Cependant, ce correctif est désactivé par défaut, car une application incorrecte de la mise à jour ou des conflits sur les appareils peuvent entraîner l’arrêt du chargement du système d’exploitation. Au lieu de cela, le déploiement du correctif par étapes permet aux administrateurs Windows de le tester avant qu’il ne soit appliqué avant 2026.
Lorsqu’elle est activée, la mise à jour de sécurité ajoutera le certificat « Windows UEFI CA 2023 » à la base de données de signatures de démarrage sécurisé UEFI. »Les administrateurs peuvent ensuite installer de nouveaux gestionnaires de démarrage signés avec ce certificat.
Ce processus inclut également la mise à jour de la base de données de signatures interdites de démarrage sécurisé (DBX) pour ajouter le certificat « Windows Production CA 2011 ». Ce certificat est utilisé pour signer des gestionnaires de démarrage plus anciens et vulnérables, et une fois révoqué, ces gestionnaires de démarrage deviendront non fiables et ne se chargeront pas.
Toutefois, si vous appliquez les mesures d’atténuation et rencontrez un problème lors du démarrage de vos périphériques, vous devez d’abord mettre à jour votre support de démarrage pour utiliser le certificat Windows UEFI CA 2023 pour dépanner l’installation de Windows.
« Si vous rencontrez un problème avec l’appareil après l’application des mesures d’atténuation et que l’appareil ne démarre plus, vous risquez de ne pas pouvoir démarrer ou récupérer votre appareil à partir d’un support existant », explique Microsoft dans un bulletin de support concernant le déploiement progressif des correctifs pour CVE-2023-24932.
« Le support de récupération ou d’installation devra être mis à jour afin qu’il fonctionne avec un périphérique sur lequel les mesures d’atténuation sont appliquées. »
Hier, Microsoft a publié un script PowerShell qui vous aide à mettre à jour le support de démarrage afin qu’il utilise le certificat Windows UEFI CA 2023.
« Le script PowerShell décrit dans cet article peut être utilisé pour mettre à jour le support de démarrage Windows afin que le support puisse être utilisé sur des systèmes qui font confiance au certificat Windows UEFI CA 2023 », explique un nouveau bulletin de support sur le script.
Le script PowerShell peut être téléchargé à partir de Microsoft et peut être utilisé pour mettre à jour les fichiers multimédias amorçables pour les fichiers image ISO CD/DVD, un lecteur flash USB, un chemin d’accès au lecteur local ou un chemin d’accès au lecteur réseau.
Pour utiliser l’utilitaire, vous devez d’abord télécharger et installer Windows ADK, ce qui est nécessaire pour que ce script fonctionne correctement.
Une fois exécuté, le script mettra à jour les fichiers multimédias pour utiliser le certificat Windows UEFI CA 2023 et installera les gestionnaires de démarrage signés par ce certificat.
Il est fortement conseillé aux administrateurs Windows de tester ce processus avant que l’étape d’application des mises à jour de sécurité ne soit atteinte. Microsoft dit que cela se produira d’ici la fin de 2026 et donnera un préavis de six mois avant le début.