Microsoft a publié des mises à jour de sécurité pour corriger une vulnérabilité Zero Day Secure Boot exploitée par le logiciel malveillant BlackLotus UEFI pour infecter des systèmes Windows entièrement corrigés.
Le démarrage sécurisé est une fonction de sécurité qui bloque les chargeurs de démarrage non approuvés par l’OEM sur les ordinateurs dotés d’un micrologiciel UEFI (Unified Extensible Firmware Interface) et d’une puce TPM (Trusted Platform Module) pour empêcher le chargement des rootkits pendant le processus de démarrage.
Selon un article de blog du Microsoft Security Response Center, la faille de sécurité (suivie sous le nom de CVE-2023-24932) a été utilisée pour contourner les correctifs publiés pour CVE-2022-21894, un autre bogue de démarrage sécurisé abusé dans les attaques BlackLotus l’année dernière.
« Pour se protéger contre cette attaque, un correctif pour le gestionnaire de démarrage Windows (CVE-2023-24932) est inclus dans la mise à jour de sécurité du 9 mai 2023, mais désactivé par défaut et ne fournira pas de protections », a déclaré la société.
« Cette vulnérabilité permet à un attaquant d’exécuter du code auto-signé au niveau de l’interface UEFI (Unified Extensible Firmware Interface) alors que le démarrage sécurisé est activé.
« Ceci est utilisé par les acteurs de la menace principalement comme un mécanisme de persistance et d’évasion de la défense. L’exploitation réussie repose sur l’attaquant ayant un accès physique ou des privilèges d’administrateur local sur l’appareil ciblé. »
Tous les systèmes Windows sur lesquels les protections Secure Boot sont activées sont affectés par cette faille, y compris sur site, les machines virtuelles et les appareils basés sur le cloud.
Cependant, les correctifs de sécurité CVE-2023-24932 publiés aujourd’hui ne sont disponibles que pour les versions prises en charge de Windows 10, Windows 11 et Windows Server.
Pour déterminer si les protections de démarrage sécurisé sont activées sur votre système, vous pouvez exécuter la commande msinfo32 à partir d’une invite de commande Windows pour ouvrir l’application Informations système.
Secure Boot est activé si vous voyez un message « Secure Boot State ON » sur le côté gauche de la fenêtre après avoir sélectionné « System Summary ».
Étapes manuelles requises pour atténuer CVE-2023-24932
Bien que les mises à jour de sécurité publiées aujourd’hui par Redmond contiennent un correctif du gestionnaire de démarrage Windows, elles sont désactivées par défaut et ne supprimeront pas le vecteur d’attaque exploité dans les attaques BlackLotus.
Pour défendre leurs appareils Windows, les clients doivent suivre une procédure nécessitant plusieurs étapes manuelles « pour mettre à jour le support de démarrage et appliquer les révocations avant d’activer cette mise à jour ».
Pour activer manuellement les protections pour le bogue de contournement Secure Boot CVE-2023-24932, vous devez suivre les étapes suivantes dans cet ordre exact (sinon, le système ne démarrera plus) :
- INSTALLER les mises à jour du 9 mai 2023 sur tous les systèmes concernés.
- METTRE À JOUR votre support de démarrage avec les mises à jour Windows publiées le 9 mai 2023 ou après. Si vous ne créez pas votre propre support, vous devrez obtenir le support officiel mis à jour auprès de Microsoft ou du fabricant de votre appareil (OEM).
- APPLIQUEZ les révocations pour vous protéger contre la vulnérabilité dans CVE-2023-24932.
Microsoft adopte également une approche progressive pour appliquer les protections corrigeant cette faille de sécurité afin de réduire l’impact sur les clients en raison de l’activation des protections CVE-2023-24932.
Le calendrier de déploiement comprend trois phases :
- 9 mai 2023 : Le correctif initial pour CVE-2023-24932 est publié. Dans cette version, ce correctif nécessite la mise à jour de sécurité Windows du 9 mai 2023 et une action client supplémentaire pour mettre pleinement en œuvre les protections.
- 11 juillet 2023 : Une deuxième version fournira des options de mise à jour supplémentaires pour simplifier le déploiement des protections.
- Premier trimestre 2024 : cette version finale activera le correctif pour CVE-2023-24932 par défaut et appliquera les révocations du gestionnaire de démarrage sur tous les appareils Windows.
Microsoft a également averti les clients qu’il n’y avait aucun moyen d’annuler les modifications une fois les atténuations CVE-2023-24932 entièrement déployées.
« Une fois que l’atténuation de ce problème est activée sur un appareil, ce qui signifie que les révocations ont été appliquées, elle ne peut pas être annulée si vous continuez à utiliser Secure Boot sur cet appareil », a déclaré Microsoft.
« Même le reformatage du disque ne supprimera pas les révocations si elles ont déjà été appliquées. »
Mise à jour : titre révisé pour expliquer qu’il s’agit d’un correctif facultatif.