Microsoft a publié un script pour faciliter la correction d’une vulnérabilité de sécurité de contournement BitLocker dans l’environnement de récupération Windows (WinRE).
Ce script PowerShell (KB5025175) simplifie le processus de sécurisation des images WinRE contre les tentatives d’exploitation de la faille CVE-2022-41099 qui permet aux attaquants de contourner les périphériques de stockage du système de fonctionnalité BitLocker Device Encryption.
L’exploitation réussie de cela permet aux acteurs de la menace disposant d’un accès physique d’accéder aux données chiffrées lors d’attaques de faible complexité.
Selon Microsoft, la vulnérabilité ne peut pas être exploitée si l’utilisateur a activé la protection BitLocker TPM+PIN.
« L’exemple de script PowerShell a été développé par l’équipe produit de Microsoft pour aider à automatiser la mise à jour des images WinRE sur les appareils Windows 10 et Windows 11 », indique Microsoft dans un document d’assistance publié jeudi.
« Exécutez le script avec les informations d’identification de l’administrateur dans PowerShell sur les appareils concernés. Deux scripts sont disponibles. Le script à utiliser dépend de la version de Windows que vous exécutez. »
La version de script recommandée est PatchWinREScript_2004plus.ps1 qui permet d’appliquer les mises à jour de sécurité sur les systèmes exécutant Windows 10 2004 et versions ultérieures (y compris Windows 11).
L’autre script PowerShell (PatchWinREScript_General.ps1) est moins robuste et doit être utilisé sur Windows 10 1909 et les versions antérieures (bien qu’il fonctionnera sur tous les systèmes Windows 10 et Windows 11).
Comment utiliser le script de correctif WinRE
Les scripts de correctif CVE-2022-41099 peuvent être exécutés à partir d’un Windows PowerShell et permettent aux administrateurs de spécifier le chemin et le nom du package de mise à jour dynamique de Safe OS qui doit être utilisé pour mettre à jour l’image WinRE.
Ces packages de mise à jour sont spécifiques à la version du système d’exploitation et à l’architecture du processeur et doivent être téléchargés au préalable à partir du catalogue Microsoft Update.
Les scripts permettent également de passer un paramètre workDir pour sélectionner l’espace de travail à utiliser pendant le processus de correction (s’il n’est pas spécifié, le script utilisera le dossier temporaire Windows par défaut).
Une fois lancé, le script passera par les étapes suivantes :
- Montez l’image WinRE existante (WINRE.WIM).
- Mettez à jour l’image WinRE avec le package Safe OS Dynamic Update (mise à jour de compatibilité) spécifié disponible dans le catalogue Windows Update (la dernière mise à jour disponible pour la version de Windows installée sur l’appareil est recommandée)
- Démontez l’image WinRE.
- Si le protecteur BitLocker TPM est présent, il reconfigure WinRE pour le service BitLocker.
Après avoir exécuté le script, vous n’aurez pas besoin de redémarrer le système pour terminer le processus de correction de l’image WinRE.