Correctif Bootkit zero-day – est-ce le correctif le plus prudent de Microsoft ?

Les mises à jour du mardi du patch de mai 2023 de Microsoft comprennent exactement le genre de mélange auquel vous vous attendiez probablement.

Si vous vous fiez aux chiffres, il y a 38 vulnérabilités, dont sept sont considérés comme critiques : six dans Windows lui-même et un dans SharePoint.

Apparemment, trois des 38 trous sont des zero-days, car ils sont déjà connus du public, et au moins l'un d'entre eux a déjà été activement exploité par des cybercriminels.

Malheureusement, ces criminels semblent inclure le célèbre gang de rançongiciels Black Lotus, il est donc bon de voir un correctif livré pour ce trou de sécurité sauvage, doublé CVE-2023-24932 : Vulnérabilité de contournement de la fonction de sécurité du démarrage sécurisé.

Cependant, bien que vous obteniez le correctif si vous effectuez un téléchargement complet du Patch Tuesday et laissez la mise à jour se terminer…

… il ne sera pas appliqué automatiquement.

Pour activer les correctifs de sécurité nécessaires, vous devrez lire et assimiler un Message de 500 mots droit Conseils relatifs aux modifications de Secure Boot Manager associées à CVE-2023-24932.

Ensuite, vous devrez passer par un référence pédagogique qui compte près de 3000 mots.

Celui-là s'appelle KB5025885 : comment gérer les révocations du gestionnaire de démarrage Windows pour les modifications de démarrage sécurisé associées à CVE-2023-24932.

Le problème de la révocation

Si vous avez suivi notre couverture récente de la Violation des données MSI, vous saurez qu'il s'agit de clés cryptographiques relatives à la sécurité du micrologiciel qui auraient été volées au géant de la carte mère MSI par un autre gang de cyberextorqueurs du nom de rue Money Message.

Vous saurez également que les commentateurs des articles que nous avons écrits sur l'incident MSI ont demandé, "Pourquoi MSI ne révoque-t-il pas immédiatement les clés volées, arrête-t-il de les utiliser, puis publie-t-il un nouveau micrologiciel signé avec de nouvelles clés ?"

Comme nous l'avons expliqué dans le contexte de cette histoire, renier les clés de micrologiciel compromises pour bloquer un éventuel code de micrologiciel malveillant peut très facilement provoquer un mauvais cas de ce que l'on appelle «la loi des conséquences involontaires».

Par exemple, vous pourriez décider que la première et la plus importante étape consiste à me dire de ne plus faire confiance à tout ce qui est signé par la clé XYZ, car c'est celle qui a été compromise.

Après tout, révoquer la clé volée est le moyen le plus rapide et le plus sûr de la rendre inutile pour les escrocs, et si vous êtes assez rapide, vous pourriez même faire changer la serrure avant qu'ils aient la chance d'essayer la clé.

Mais vous pouvez voir où cela mène.

Si mon ordinateur révoque la clé volée en prévision de la réception d'une nouvelle clé et d'un micrologiciel mis à jour, mais que mon ordinateur redémarre (accidentellement ou autrement) au mauvais moment…

… alors le micrologiciel que j'ai déjà ne sera plus fiable et je ne pourrai pas démarrer - pas sur le disque dur, pas sur USB, pas sur le réseau, probablement pas du tout, car je n'obtiendrai pas jusqu'au point dans le code du firmware où je pouvais charger n'importe quoi à partir d'un périphérique externe.

Une prudence abondante

Dans le cas CVE-2023-24932 de Microsoft, le problème n'est pas aussi grave que cela, car le correctif complet n'invalide pas le micrologiciel existant sur la carte mère elle-même.

Le correctif complet consiste à mettre à jour le code de démarrage de Microsoft dans la partition de démarrage de votre disque dur, puis à dire à votre carte mère de ne plus faire confiance à l'ancien code de démarrage non sécurisé.

En théorie, si quelque chose ne va pas, vous devriez toujours pouvoir récupérer d'un échec de démarrage du système d'exploitation simplement en démarrant à partir d'un disque de récupération que vous avez préparé précédemment.

Sauf qu'aucun de vos disques de récupération existants ne sera approuvé par votre ordinateur à ce stade, en supposant qu'ils incluent des composants de démarrage qui ont maintenant été révoqués et ne seront donc pas acceptés par votre ordinateur.

Encore une fois, vous pouvez toujours probablement récupérer vos données, sinon l'intégralité de l'installation de votre système d'exploitation, en utilisant un ordinateur qui a été entièrement corrigé pour créer une image de récupération entièrement à jour avec le nouveau code de démarrage dessus, en supposant que vous avez un ordinateur de rechange à portée de main pour le faire.

Ou vous pouvez télécharger une image d'installation Microsoft qui a déjà été mise à jour, en supposant que vous disposez d'un moyen de récupérer le téléchargement et en supposant que Microsoft dispose d'une nouvelle image disponible qui correspond à votre matériel et à votre système d'exploitation.

(À titre expérimental, nous venons de récupérer [2023-05-09:23:55:00Z] le dernier Évaluation de Windows 11 Entreprise 64 bits Image ISO, qui peut être utilisée pour la récupération ainsi que pour l'installation, mais elle n'a pas été mise à jour récemment.)

Et même si vous ou votre service informatique avez le temps et l'équipement de rechange pour créer des images de récupération rétrospectivement, cela va toujours être un tracas chronophage dont vous pourriez tous vous passer, surtout si vous travaillez à domicile et des dizaines de d'autres personnes de votre entreprise ont été bloquées en même temps et doivent recevoir de nouveaux supports de récupération.

Télécharger, préparer, révoquer

Ainsi, Microsoft a intégré les matières premières dont vous avez besoin pour ce correctif dans les fichiers que vous obtiendrez lorsque vous téléchargerez votre mise à jour Patch Tuesday de mai 2023, mais a délibérément décidé de ne pas activer toutes les étapes nécessaires pour appliquer le correctif automatiquement.

Au lieu de cela, Microsoft vous demande instamment de suivre un processus manuel en trois étapes comme celui-ci :

• ÉTAPE 1. Récupérez la mise à jour afin que tous les fichiers dont vous avez besoin soient installés sur votre disque dur local. Votre ordinateur utilisera le nouveau code de démarrage, mais acceptera toujours l'ancien code exploitable pour le moment. Il est important de noter que cette étape de la mise à jour n'indique pas automatiquement à votre ordinateur de révoquer (c'est-à-dire de ne plus faire confiance) à l'ancien code de démarrage.
• ÉTAPE 2. Corrigez manuellement tous vos périphériques amorçables (images de récupération) afin qu'ils aient le nouveau code de démarrage dessus. Cela signifie que vos images de récupération fonctionneront correctement avec votre ordinateur même après avoir terminé l'étape 3 ci-dessous, mais pendant que vous préparez de nouveaux disques de récupération, vos anciens fonctionneront toujours, juste au cas où. (Nous n'allons pas donner ici d'instructions pas à pas car il existe de nombreuses variantes différentes ; consultez La référence de Microsoft au lieu.)
• ÉTAPE 3. Dites manuellement à votre ordinateur de révoquer le code de démarrage bogué. Cette étape ajoute un identifiant cryptographique (un hachage de fichier) à la liste de blocage du micrologiciel de votre carte mère pour empêcher que l'ancien code de démarrage bogué ne soit utilisé à l'avenir, empêchant ainsi CVE-2023-24932 d'être à nouveau exploité. En reportant cette étape après l'étape 2, vous évitez le risque de rester coincé avec un ordinateur qui ne démarre pas et ne peut donc plus être utilisé pour terminer l'étape 2.

Comme vous pouvez le voir, si vous effectuez les étapes 1 et 3 ensemble tout de suite, mais laissez l'étape 2 pour plus tard, et quelque chose ne va pas…

… aucune de vos images de récupération existantes ne fonctionnera plus car elles contiendront un code de démarrage qui a déjà été désavoué et interdit par votre ordinateur déjà entièrement mis à jour.

Si vous aimez les analogies, enregistrer l'étape 3 jusqu'à la fin vous évite de verrouiller vos clés à l'intérieur de la voiture.

Le reformatage de votre disque dur local ne vous aidera pas si vous vous verrouillez, car l'étape 3 transfère les hachages cryptographiques du code de démarrage révoqué du stockage temporaire sur votre disque dur vers une liste "ne plus jamais faire confiance" qui est verrouillée dans un stockage sécurisé sur le carte mère elle-même.

Dans les mots officiels de Microsoft, naturellement plus dramatiques et répétitifs :

ATTENTION

Une fois que l'atténuation de ce problème est activée sur un appareil, ce qui signifie que les révocations ont été appliquées, elle ne peut pas être annulée si vous continuez à utiliser Secure Boot sur cet appareil. Même le reformatage du disque ne supprimera pas les révocations si elles ont déjà été appliquées.

Tu étais prévenu!

Si vous ou votre équipe informatique êtes inquiet

Microsoft a fourni un calendrier en trois étapes pour cette mise à jour particulière :

• 2023-05-09 (maintenant). Le processus manuel complet mais maladroit décrit ci-dessus peut être utilisé pour terminer le correctif aujourd'hui. Si vous êtes inquiet, vous pouvez simplement installer le correctif (étape 1 ci-dessus) mais ne rien faire d'autre pour le moment, ce qui laisse votre ordinateur exécutant le nouveau code de démarrage et donc prêt à accepter la révocation décrite ci-dessus, mais toujours capable de démarrer avec votre disques de récupération existants. (Notez, bien sûr, que cela le laisse encore exploitable, car l'ancien code de démarrage peut toujours être chargé.)
• 2023-07-11 (deux mois). Les outils de déploiement automatique Safter sont promis. Vraisemblablement, tous les téléchargements d'installation officiels de Microsoft seront corrigés d'ici là, donc même si quelque chose ne va pas, vous disposerez d'un moyen officiel pour récupérer une image de récupération fiable. À ce stade, nous supposons que vous serez en mesure de terminer le correctif en toute sécurité et facilement, sans vous disputer avec les lignes de commande ni pirater le registre à la main.
• Début 2024 (l'année prochaine). Les systèmes non corrigés seront mis à jour de force, y compris en appliquant automatiquement les révocations cryptographiques qui empêcheront les anciens supports de récupération de fonctionner sur votre ordinateur, fermant ainsi définitivement le trou CVE-2023-24932 pour tout le monde.

Soit dit en passant, si le démarrage sécurisé n'est pas activé sur votre ordinateur, vous pouvez simplement attendre que le processus en trois étapes ci-dessus se termine automatiquement.

Après tout, sans Secure Boot, toute personne ayant accès à votre ordinateur pourrait de toute façon pirater le code de démarrage, étant donné qu'il n'y a pas de protection cryptographique active pour verrouiller le processus de démarrage.

---

LE DÉMARRAGE SÉCURISÉ EST-IL ACTIVÉ ?

Vous pouvez savoir si Secure Boot est activé sur votre ordinateur en exécutant la commande MSINFO32:

---

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/