Transition du certificat Microsoft Secure Boot (CA 2023) et atténuation de BlackLotus

Getac s'engage à fournir une sécurité renforcée pour nos solutions informatiques durcies. Cet avis décrit notre stratégie proactive pour la transition vers la chaîne d'autorité de certification (CA) Microsoft Secure Boot 2023 afin de garantir l'intégrité du système, la conformité et une protection continue contre les menaces en constante évolution au niveau du démarrage.

Importance :

Microsoft exige que la transition vers le certificat Microsoft Secure Boot (2023 CA) soit effectuée avant juin 2026. Ne pas effectuer cette transition n'empêchera pas le démarrage, mais empêchera de recevoir les mises à jour DBX, rendant ainsi le système vulnérable aux binaires révoqués à l'avenir.

De plus, veuillez noter que les logiciels distribués par Getac, avec ou sans le nom de marque Getac (y compris, mais sans s'y limiter, les logiciels système), ne sont pas couverts par la garantie Getac. Getac n'est pas responsable des réclamations, dommages, coûts ou dépenses résultant du non-respect des instructions relatives à la mise à jour de sécurité Microsoft.

1. Contexte et cause principale : CVE-2023-24932

La transition vers la CA Secure Boot 2023 est essentielle pour maintenir l'intégrité à long terme des systèmes. Motivée par l'expiration en juin 2026 de la CA KEK 2011 et la nécessité d'atténuer la vulnérabilité du bootkit UEFI BlackLotus (CVE-2023-24932), cette mesure garantit que les appareils restent conformes aux normes de sécurité Microsoft et conservent la capacité de recevoir des mises à jour DBX après 2026.

2. Planification de Getac pour le déploiement de la CA 2023

Getac met en œuvre les nouveaux certificats CA 2023 dans l'ensemble de son portefeuille de produits en deux phases : par défaut dans le BIOS pour les nouvelles plateformes et via Windows Update pour les appareils déjà commercialisés.

Phase A: Nouvelles plateformes avec Windows 11 Pro (CA 2023 par défaut dans le BIOS)

Les projets développés sur et après les plateformes suivantes auront la CA 2023 intégrée comme paramètre par défaut dans le BIOS d'usine :

Phase B: Plateformes déjà sur le marché avec Windows 11 Pro (Windows Update)

Les plateformes précédentes déjà sur le marché recevront la mise à jour CA 2023 via les mécanismes standard de Windows Update.

Base technique : En s'appuyant sur les directives de Microsoft (Windows Secure Boot Key Creation and Management Guidance), les appareils déjà sur le marché recevront la nouvelle CA KEK 2023 via les mécanismes standard de Windows Update afin de maintenir les mises à jour essentielles de DB/DBX après 2026.

3. Actions requises et plateformes hors du périmètre

⚠️ Avis de sécurité et d'exploitation

Bien que la plupart des plateformes soient couvertes, afin de garantir la sécurité à long terme du système et l'intégrité du démarrage : les systèmes qui ne terminent pas la mise à jour du certificat à temps ne pourront pas recevoir les mises à jour DBX après 2026.

Nous conseillons fortement aux clients de prendre les mesures suivantes :

• Mettre à jour le BIOS : Maintenez le BIOS de votre plateforme à jour avec la dernière version fournie par Getac.

• Activer Windows Update : Assurez-vous que Windows Update est activé et fonctionne pour recevoir les mises à jour de certificats nécessaires directement de Microsoft.

• Éviter de réinitialiser Secure Boot : Par précaution, évitez de réinitialiser le BIOS aux paramètres par défaut ou de désactiver Secure Boot.

• Gérer, dépanner et vérifier si la base données a été mise à jour avec succès via le support Microsoft : How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support

Note importante sur les ancielles plateformes et Windows 10

• Appareils Windows 10 : À l'approche de la fin du support de Windows 10, nous recommandons fortement de passer à Windows 11 pour bénéficier d'une couverture de sécurité continue.

• Plateformes hors périmètre : Les appareils non couverts par le plan ci-dessus doivent passer à Windows 11 ou s'inscrire au nouveau programme ESU (Extended Security Updates) pour les consommateurs afin de gérer eux-mêmes la maintenance de la sécurité, car Windows 10 est officiellement en fin de service.

Disclaimer:
Getac Disclaimer: All content and other information mentioned in this statement or offered arising from the issue described herein are provided on an "as is" basis. Getac hereby expressly disclaims any warranties of any kind, express or implied, including without limitation warranties of merchantability, fitness for any particular purpose, non-infringement of intellectual property. All products, information, and figures specified are preliminary based on current expectations, and Getac reserves the right to change or update any content thereof at any time without prior notice. Getac assessments have been estimated or simulated using Getac internal analysis or architecture simulation or modeling and may not represent the actual risk to the users' local installation and individual environment. Users are recommended to determine the applicability of this statement to their specified environments and take appropriate actions. The use of this statement, and all consequences of such use, is solely at the user's own responsibility, risk, and expense thereof. In no event shall Getac or any of its affiliates be liable for any and all claims, damages, costs or expenses, including without limitation, loss of profits, loss of data, loss of business expectancy, compensatory, direct, indirect, consequential, punitive, special, or incidental damages or business interruption arising out of or in connection with related to the information contained herein or actions that the user decides to take based thereon. Getac reserves the right to interpret this disclaimer and update this disclaimer whenever necessary.