Microsoft : les derniers mardis de correctifs apportent les mises à jour dynamiques de SafeOS pour corriger le contournement du démarrage sécurisé

Plus tôt dans la journée, Microsoft a publié ses mises à jour Patch Tuesday pour Windows 10 (KB5028166) et Windows 11 (KB5028185) . La société, sur son site Web de tableau de bord de santé, a fait une annonce d’accompagnement pour expliquer qu’elle a déployé sa deuxième phase de durcissement contre la faille de sécurité du bootkit BlackLotus UEFI . Un message d’orientation a également été publié par Microsoft pour aider les utilisateurs.

La dernière mise à jour ajoute les derniers packages de mise à jour dynamique SafeOS pour WinRE et facilite le déploiement automatisé des fichiers de révocation Secure Boot DBX. La base de données de signatures sécurisées de démarrage interdite ou Secure Boot DBX de Microsoft est essentiellement une liste de blocage pour les exécutables UEFI sur liste noire qui se sont révélés dangereux.

Microsoft écrit :

La publication des mises à jour de sécurité du 11 juillet 2023 pour Windows démarre la deuxième phase de déploiement dans KB5025885 : Comment gérer les révocations du gestionnaire de démarrage Windows pour les modifications de démarrage sécurisé associées à CVE-2023-24932 . KB5025885 contient les étapes manuelles pour vérifier que votre environnement est prêt pour les modifications et les étapes pour activer les modifications de renforcement de la sécurité pour se protéger contre les vulnérabilités suivies par CVE-2023-24932 qui peuvent contourner la fonction de sécurité Secure Boot à l’aide du kit de démarrage BlackLotus UEFI .

La deuxième phase de déploiement dans les mises à jour pour Windows publiées le 11 juillet 2023 ou une version ultérieure ajoute ce qui suit :

• Permettre un déploiement plus facile et automatisé des fichiers de révocation (politique de démarrage d’intégrité du code et liste d’interdiction de démarrage sécurisé (DBX)).
• De nouveaux événements du journal des événements seront disponibles pour indiquer si le déploiement de la révocation a réussi ou non.
• Package de mise à jour dynamique SafeOS pour Windows Recovery Environment (WinRE).

Microsoft a également mis à jour le journal des modifications pour l’ article de support KB5025885 :

11 juillet 2023

• Mise à jour des instances de la date du « 9 mai 2023 » au « 11 juillet 2023 », « 9 mai 2023 et 11 juillet 2023 » ou au « 9 mai 2023 ou plus tard ».
• Dans la section « Directives de déploiement », nous notons que toutes les mises à jour dynamiques SafeOS sont désormais disponibles pour la mise à jour des partitions WinRE. De plus, la case ATTENTION a été supprimée car le problème est résolu par la publication des mises à jour dynamiques SafeOS.
• Dans le « 3. APPLIQUER les révocations », les instructions ont été révisées.
• Dans la section « Erreurs du journal des événements Windows », l’ID d’événement 276 est ajouté.

Dans les nouvelles connexes, des logiciels tiers comme Rufus, avec sa dernière mise à jour bêta , ont ajouté la détection et l’avertissement pour tous ces bootkits UEFI révoqués. Il a également ajouté la prise en charge de ZIP64 et plus encore. L’outil de configuration Windows, NTLite, a également ajouté de telles révocations du gestionnaire de démarrage .