Microsoft a publié un script PowerShell pour automatiser la mise à jour de la partition de l’environnement de récupération Windows (WinRE) afin de corriger CVE-2024-20666, une vulnérabilité qui permettait de contourner le cryptage BitLocker.

Ce problème de sécurité a été résolu dans la mise à jour de sécurité KB5034441 publiée plus tôt cette semaine lors du Patch Tuesday de ce mois-ci.

Le script PowerShell résout un problème connu provoquant des échecs d’installation de KB5034441 sur les systèmes Windows 10, ce qui rend les périphériques vulnérables à la faille de contournement du cryptage BitLocker qui permet d’accéder aux données cryptées.

Lors de la tentative de déploiement de la mise à jour de sécurité, les utilisateurs signalent avoir vu des erreurs 0x80070643, indiquant: « Il y a eu quelques problèmes lors de l’installation des mises à jour, mais nous réessayerons plus tard. Si vous continuez à voir cela et que vous souhaitez effectuer une recherche sur le Web ou contacter le support pour obtenir des informations, cela peut vous aider: (0x80070643). »

Comme l’explique Microsoft, cela se produit car au lieu d’afficher une erreur CBS_E_INSUFFICIENT_DISK_SPACE lorsque la partition WinRE n’est pas assez grande, Windows Update indique à tort le message d’erreur générique « 0x80070643 – ERROR_INSTALL_FAILURE » à la place.

Erreur de mise à jour Windows 0x80070643

​Cela se produit car le fichier image WinRE (winre.wim) déployé lors de l’installation de la mise à jour de sécurité KB5034441 est trop volumineux pour la partition de récupération.

Pour résoudre le problème, Microsoft a conseillé aux utilisateurs de créer une partition WinRE plus grande afin d’avoir suffisamment d’espace pour l’installation de KB5034441.

Automatisez les correctifs de contournement du chiffrement BitLocker
Bien que vous puissiez le faire manuellement à l’aide d’instructions détaillées—et assez complexes—, la société fournit désormais également un script PowerShell dédié pour vous aider à automatiser la mise à jour de la partition WinRE (sans avoir à la redimensionner au préalable) et à corriger la vulnérabilité BitLocker CVE-2024-20666.

« L’exemple de script PowerShell a été développé par l’équipe produit de Microsoft pour aider à automatiser la mise à jour des images WinRE sur les appareils Windows 10 et Windows 11 pris en charge », a déclaré Microsoft.

« Exécutez le script avec les informations d’identification de l’administrateur dans PowerShell sur les appareils concernés. Il existe deux scripts disponibles—le script que vous devez utiliser dépend de la version de Windows que vous exécutez. »

Lors de l’exécution du script sur votre système, il monte l’image WinRE, applique une mise à jour dynamique du système d’exploitation sécurisé spécifique à l’architecture que vous devez télécharger à partir du catalogue Windows Update avant d’exécuter le script, démonte l’image, puis reconfigure WinRE pour le service BitLocker si le BitLocker TPM Protector est présent.

Sortie de script montrant la mise à jour en cours d’application

​À partir des tests de Breachtrace, vous devrez peut-être également utiliser l’outil Afficher ou Masquer de Microsoft pour masquer la mise à jour KB5034441 après l’exécution du script, afin que Windows Update ne continue pas d’essayer d’installer la mise à jour boguée et d’afficher une erreur.

La société de gestion des correctifs Action1 a également publié des scripts qui automatisent le redimensionnement de la partition de l’environnement de récupération Windows (WinRE) si vous préférez emprunter cette voie.

Si vous choisissez de redimensionner manuellement la partition WinRE ou d’utiliser les scripts d’Action1, il est fortement conseillé de sauvegarder vos données car il y a toujours le risque que les partitions de votre système soient endommagées lors de l’ajustement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *