Microsoft publie un correctif facultatif pour Secure Boot Zero

Jun 29, 2023

Microsoft a publié des mises à jour de sécurité pour corriger une vulnérabilité Zero Day de démarrage sécurisé exploitée par le malware BlackLotus UEFI pour infecter les systèmes Windows entièrement corrigés.

Secure Boot est une fonctionnalité de sécurité qui bloque les chargeurs de démarrage non approuvés par le fabricant OEM sur les ordinateurs dotés du micrologiciel UEFI (Unified Extensible Firmware Interface) et d'une puce TPM (Trusted Platform Module) pour empêcher le chargement des rootkits pendant le processus de démarrage.

Selon un article de blog du Microsoft Security Response Center, la faille de sécurité (identifiée comme CVE-2023-24932) a été utilisée pour contourner les correctifs publiés pour CVE-2022-21894, un autre bug de démarrage sécurisé exploité lors des attaques BlackLotus l'année dernière.

"Pour se protéger contre cette attaque, un correctif pour le gestionnaire de démarrage Windows (CVE-2023-24932) est inclus dans la mise à jour de sécurité du 9 mai 2023, mais désactivé par défaut et n'offrira pas de protection", a indiqué la société.

"Cette vulnérabilité permet à un attaquant d'exécuter du code auto-signé au niveau UEFI (Unified Extensible Firmware Interface) lorsque le démarrage sécurisé est activé.

"Ceci est utilisé par les auteurs de menaces principalement comme mécanisme de persistance et d'évasion de la défense. Une exploitation réussie dépend de l'accès physique ou des privilèges d'administrateur local de l'attaquant sur l'appareil ciblé."

Tous les systèmes Windows sur lesquels les protections Secure Boot sont activées sont affectés par cette faille, y compris les appareils sur site, les machines virtuelles et les appareils basés sur le cloud.

Cependant, les correctifs de sécurité CVE-2023-24932 publiés aujourd'hui ne sont disponibles que pour les versions prises en charge de Windows 10, Windows 11 et Windows Server.

Pour déterminer si les protections de démarrage sécurisé sont activées sur votre système, vous pouvez exécuter la commande msinfo32 à partir d'une invite de commande Windows pour ouvrir l'application Informations système.

Le démarrage sécurisé est activé si vous voyez un message « Secure Boot State ON » sur le côté gauche de la fenêtre après avoir sélectionné « Résumé du système ».

Bien que les mises à jour de sécurité publiées aujourd'hui par Redmond contiennent un correctif du gestionnaire de démarrage Windows, elles sont désactivées par défaut et ne supprimeront pas le vecteur d'attaque exploité dans les attaques BlackLotus.

Pour défendre leurs appareils Windows, les clients doivent suivre une procédure nécessitant plusieurs étapes manuelles « pour mettre à jour le support de démarrage et appliquer des révocations avant d'activer cette mise à jour ».

Pour activer manuellement les protections contre le bogue de contournement Secure Boot CVE-2023-24932, vous devez suivre les étapes suivantes dans cet ordre exact (sinon, le système ne démarrera plus) :

Microsoft adopte également une approche progressive pour appliquer les protections contre cette faille de sécurité afin de réduire l'impact sur les clients grâce à l'activation des protections CVE-2023-24932.

Le calendrier de déploiement comprend trois phases :

Microsoft a également averti les clients qu'il n'y avait aucun moyen d'annuler les modifications une fois les atténuations CVE-2023-24932 entièrement déployées.

"Une fois que l'atténuation de ce problème est activée sur un appareil, ce qui signifie que les révocations ont été appliquées, elle ne peut plus être annulée si vous continuez à utiliser Secure Boot sur cet appareil", a déclaré Microsoft.

"Même le reformatage du disque ne supprimera pas les révocations si elles ont déjà été appliquées."

Mise à jour : titre révisé pour expliquer qu'il s'agit d'un correctif facultatif.

Le code source du malware BlackLotus Windows UEFI divulgué sur GitHub

Le nouveau ver malveillant P2PInfect cible les serveurs Linux et Windows Redis

La CISA ordonne aux agences gouvernementales d'atténuer les zéros jours de Windows et d'Office

Le patch Tuesday de juillet 2023 de Microsoft met en garde contre 6 zero-days et 132 failles

Apple corrige les jours zéro utilisés pour déployer le logiciel espion Triangulation via iMessage