Parce que le résultat serait d’innombrables supports de démarrage Windows qui ne démarrent plus avec Secure Boot. Les sauvegardes et le démarrage réseau sont également affectés.

Une vulnérabilité dans le standard de sécurité Secure Boot des systèmes Windows actuels devient un véritable défi, et pas seulement pour Microsoft. Bien qu’il existe maintenant un (deuxième) patch, il reste inactif pour le moment. Si vous voulez vous protéger de l’écart maintenant, vous devez intervenir vous-même. Mais attention : les anciens supports de démarrage ne peuvent plus être démarrés par la suite.

Microsoft corrige le problème pour la deuxième fois

Cette semaine, Microsoft a distribué un correctif pour Windows 10 et 11 ainsi que plusieurs variantes serveur de son système d’exploitation, qui corrige une vulnérabilité dans Démarrage sécurisé devrait réparer. La fonction de sécurité est en fait là pour garantir que le micrologiciel de la carte mère n’exécute que des logiciels fiables pendant le processus de démarrage à la suite d’une vérification de signature.

A l’origine, le groupe avait déjà comblé le vide (CVE-2022-21894) en janvier. Comme le rapporte Ars Technica, cependant, il y avait apparemment des solutions de contournement ultérieures avec lesquelles la fonctionnalité, qui est présente dans presque tous les ordinateurs semi-modernes, pouvait être à nouveau remplacée.

Le logiciel malveillant qui exploite actuellement activement la vulnérabilité est le bootkit BlackLotus. Cela permet à un attaquant d’exécuter un code malveillant avant même que le système d’exploitation ne démarre.

Le correctif Windows pour le bogue Secure Boot rend l’ancien support de démarrage inutilisable

Eh bien, s’il y a un patch maintenant, le problème est résolu, pourrait-on penser. Mais ce n’est pas si simple. Parce que contrairement à d’autres correctifs de bogues, la mise à jour pour CVE-2023-24932 est initialement inactive après l’installation. Et non sans raison.

Le correctif signifierait que le support de démarrage Windows actuel avec démarrage sécurisé actif ne pourrait plus être exécuté. Cela nécessite des ajustements du gestionnaire de démarrage du système d’exploitation qui ne peuvent pas être annulés. Microsoft lui-même avertit que l’activation de la mise à jour peut « Provoque des interférences et empêche un système de démarrer”.

Il peut donc arriver que le correctif rende les anciens supports de démarrage en particulier inutilisables car ils manquent de certains correctifs requis après la mise à jour. Cela ne s’applique pas uniquement aux supports d’installation de Windows à partir de supports de données physiques tels que des DVD ou des clés USB.

Les images d’installation personnalisées et les supports de démarrage réseau couramment utilisés par les services informatiques, ainsi que les sauvegardes système personnalisées et les supports de récupération des fabricants de PC sont également concernés.

Démarrage sécurisé : la dernière mise à jour de Windows est la première des trois étapes

Le patch de cette semaine n’est donc qu’une première étape dans le dépannage. Bien que les utilisateurs puissent fermer la vulnérabilité Secure Boot sur leurs systèmes Windows, cela nécessite toujours une intervention manuelle importante.

Avec une mise à jour de suivi en juillet, Microsoft souhaite faciliter l’activation du correctif, bien qu’il ne soit toujours pas activé par défaut. Quiconque n’aide pas manuellement reste sans protection. Le groupe souhaite uniquement activer le correctif sur tous les systèmes via une mise à jour au premier trimestre 2024.

Mais le problème principal demeure : les anciens supports de démarrage peuvent alors ne plus fonctionner. Les DSI doivent donc agir dans les mois à venir pour ne pas connaître de mauvaises surprises l’année prochaine.