please enter minimum 3 character

    Pilotes et documents

Communiqué de Getac Technology Corporation concernant la mise à jour de sécurité Microsoft

(mise à jour Windows KB5025885 portant sur les modifications de démarrage sécurisé associées à CVE-2023-24932)

Mise à jour : 31/10/2023

Importance :

Veuillez noter que ce communiqué a pour but de vous informer de la publication d’une Mise à jour de sécurité critique publée par Microsoft. Les utilisateurs sont invités à lire attentivement les instructions et à prendre les mesures recommandées par Microsoft et figurant ci-dessous, lesquelles peuvent faire l’objet de révisions, afin d’activer les protections contre le contournement du processus de Démarrage sécurisé, et d’éviter des risques de sécurité et de défaillance du système. Veuillez également noter que Microsoft a indiqué que ses recommandations devaient être suivies avant de passer à la phase finale d’application, provisoirement prévue au plus tôt le 9 juillet 2024. Le support de démarrage, et par conséquent vos appareils Getac, sont susceptibles de ne pas démarrer après la phase finale d’application par Microsoft si les étapes requises ne sont pas suivies dans l’ordre. En outre, aucun logiciel distribué par Getac, qu’il en porte ou non la marque (y compris, sans s’y limiter, tout logiciel système), n’est couvert en vertu de la présente Garantie. Getac ne pourra être tenu responsable des demandes d’indemnisation, dommages, coûts ou frais résultant du non-respect des instructions relatives à la Mise à jour de sécurité de Microsoft.


Contexte

La fonction de sécurité Secure Boot ayant été contournée par le bootkit BlackLotus UEFI, qui fait l’objet d’un suivi par la CVE-2023-24932, Microsoft a pris des mesures en publiant la mise à jour KB5025885 ainsi que d’autres mises à jour de sécurité le 9 mai 2023 visant à gérer les révocations du "boot manager” Windows.

Les Mises à jour de sécurité de Microsoft sont divisées en quatre phases¹, la dernière étant celle de la mise en application. La phase finale d’application mettra en œuvre des mesures d’atténuation permanente le 9 juillet 2024


Risques et conséquences

  • La vulnérabilité exploitée par le bootkit UEFI BlackLotus permet à des pirates de prendre le contrôle d’un appareil et potentiellement de le manipuler à leur guise. Il est fortement recommandé à tous les clients d’appliquer les mises à jour de sécurité Windows publiées le 9 mai 2023 (1re protection) et le 9 janvier 2024 (2e protection) afin d’implémenter les mesures d’atténuation nécessaires.
  • Les révocations seront appliquées par programmation le 9 juillet 2024.¹ Par conséquent, si le disque dur d’un appareil géré par l’ancien Gestionnaire de démarrage est remplacé, ce disque risque de ne plus démarrer après la date de mise en application de la mise à jour.


Instructions détaillées de Microsoft

Veuillez consulter l’annonce de Microsoft concernant la toute dernière mise à jour de sécurité liée à la CVE-2023-24932.
KB5025885 : Comment gérer les révocations du “boot manager” Windows pour les modifications du “secure boot” associées à CVE-2023-24932 – Support Microsoft


Mesures à prendre pour les utilisateurs de Getac

Il est recommandé de faire passer tous les supports de démarrage à la toute dernière version, et de les mettre à jour pour qu’ils bénéficient du nouveau gestionnaire de démarrage. Getac invite l’ensemble de ses clients à suivre les mesures décrites ci-dessous, qui couvrent différents scénarios. Getac publiera des images de récupération (créées avec Getac Recovery Media Utility, ou « GRMU »²) et des outils de démarrage permettant de mettre à jour le gestionnaire de démarrage dans la partition de récupération.

  • Les images de nouveaux lots bénéficiant des mises à jour de sécurité et du gestionnaire de démarrage les plus récentes seront publiées comme indiqué dans le Tableau A. Pour les nouveaux lots postérieurs au 9 janvier 2024, la mise à jour de sécurité sera disponible après sa publication par Microsoft. Getac dévoilera le calendrier de mise à disposition des images à sa sortie. Pour une liste détaillée, veuillez-vous référer au Tableau A : <Updated HDI Implementation Date>
  • Pour les clients d’appareils Getac expédiés avant le 31 juillet 2023
    Assurez-vous que le département chargé des Systèmes d’information de gestion est au courant des instructions ci-dessous, et confirmez que l’ancien gestionnaire de démarrage a bien été supprimé ou mis à jour. Ces étapes sont cruciales pour éviter tout problème de démarrage après la phase de mise en application par Microsoft le 9 juillet 2024.
      • Veuillez effectuer la procédure de mise à niveau de Windows pour installer les toutes dernières versions des mises à jour du système, et adressez-vous à votre département chargé des Systèmes d’information de gestion pour connaître les mesures d’atténuation détaillées. Veuillez-vous assurer d’installer toutes les mises à jour publiées par Microsoft. Actuellement, 2 versions de mises à jour ont été annoncées (9 mai 2023 et 9 janvier 2024)
      • Partition de récupération : Veuillez mettre à jour le gestionnaire de démarrage sur la partition de récupération en utilisant l’outil Getac Recovery Partition Tool, disponible sur le portail de services de Getac. Avant d’utiliser l’outil Getac Recovery Partition Patch Tool, assurez-vous d’avoir bien installé la mise à jour de sécurité de Microsoft avec une version publiée après le 9 mai. Cette étape est essentielle à la bonne mise en œuvre du gestionnaire de démarrage au sein de la partition de récupération. Si le client décide d’ACTIVER les révocations⁹, veuillez répéter cette étape à chaque mise à jour via Microsoft pour que la partition de récupération bénéficie du tout dernier boot loader.
  • Scénario de récupération d’un système à l’aide d’une image, ou de remplacement d’un disque dur après la mise en application des révocations :
    Veuillez prendre soin d’utiliser les images de récupération ci-dessous pour effectuer la récupération d’un système6.
      • Avec GRMU8:
        Veuillez télécharger la toute dernière image de Windows7 bénéficiant de la mise à jour de sécurité via GRMU² en vous rendant sur https://support.getac.com/Service/FileReader/Index?fileid=109165&cateid=100038 pour générer un support de récupération du système4. Le Tableau A affiche la liste des modèles supportés : <Date de mise en œuvre de l’image mise à jour>. Les versions du 9 mai 2023 et du 9 janvier 2024 sont requises pour garantir la sécurité. Pour tout projet personnalisé ne figurant pas dans la liste, veuillez contacter votre gestionnaire de compte et votre ingénieur d’application (FAE).
Tableau A : <Date de mise en œuvre de l’image mise à jour>.
Modèles
(Variantes de produits en -EX et -IP incluses)		Version d’OS prise en chargeNouveau lot avec date de mise en œuvre de la mise à jour de sécurité*
(Version du 9 mai 2023)		Date de publication de l’image de récupération mise à jour
(Version du 9 mai 2023)		Date de publication de l’image de récupération mise à jour
(Version du 9 janvier 2024)
X500G3T800G2Windows 10 (22H2)
Windows 10 IoT (21H2)		2023-07-312023-10-17TBD
UX10G2/G2-R, V110G6, B360G1Windows 10 (22H2)
Windows 11 (22H2)		2023-07-312023-10-17TBD
F110G6, K120G2/G2-R, S410G4, A140G2, X600, UX10G3, B360G2, V110G7Windows 10 (22H2)2023-07-312023-10-17TBD
Windows 11 (22H2)2023-10-192023-10-17TBD
X600 ServerServer 20222023-07-31N/A**N/A

*Pour les projets personnalisés, les lots postérieurs à la date du 31/10/2023 seront expédiés avec une mise à jour de sécurité de Microsoft le 9 mai. Veuillez consulter un représentant commercial (SA) pour plus de détails.

**X600 Server n’est pas pris en charge par GRMU. Veuillez consulter notre équipe de service client ou commerciale pour plus de détails.

FAQ

À compter du 9 juillet 2024, Microsoft appliquera la révocation au moyen d’une mise à jour. L’ancien Gestionnaire de démarrage sera ajouté à la base de données de signatures non autorisées. Si un appareil se retrouve dans l’un scénarios suivants impliquant l’ancien Gestionnaire de démarrage, il ne pourra plus démarrer après le 9 juillet 2024.

  • L’utilisateur change son disque dur et démarre sur un système d’exploitation qui n’a pas été mis à jour avec la base de données publiée le 9 mai 2023.
  • L’utilisateur utilise l’image originale de GRMU pour le démarrage sur lecteur USB.
  • L’utilisateur démarre sur le WinPE d’origine à l’aide d’un lecteur USB.
  • L’appareil subit un démarrage PXE pour démarrer le système d’exploitation d’origine.
  • Si la partition de récupération ne dispose pas du “boot manager” mis à jour ou contient un ancien "boot manager”.

Après avoir installé la mise à jour du 9 mai de Microsoft, les utilisateurs peuvent suivre les instructions de l’éditeur pour révoquer volontairement et en avance l’ancien Gestionnaire de démarrage, qui sera révoqué le 9 juillet 2024, selon le calendrier de Microsoft.

  • Gestionnaire de démarrage : si l’utilisateur sélectionne l’ancien Gestionnaire de démarrage, un écran noir s’affichera brièvement et l’appareil reviendra au Gestionnaire de démarrage.
  • Partition de récupération : le système s’arrêtera au début de la Partition de récupération.
  • Démarrage du système : le système ignorera le support de démarrage utilisant l’ancien Gestionnaire de démarrage, et lancera le support de démarrage suivant de sa liste.

Si vous vous retrouvez dans l’un des scénarios ci-dessus et dans l’incapacité de démarrer l’appareil, veuillez consulter la FAQ suivante pour une solution.

Veuillez désactiver le démarrage sécurisé dans les paramètres du BIOS, installer la toute dernière mise à jour de Windows, puis activer le démarrage sécurisé.

Oui, la version LTSC sera incluse jusqu’à ce la fin de son cycle de vie chez Microsoft. La version IOT sera également prise en charge après la version 21H2 de Windows 10. Veuillez consulter les ressources de Microsoft pour des renseignements détaillés sur le statut de ces prises en charge5.

MSFT transmettra les mises à jour cumulatives une fois le Wi-Fi ou Windows Update réactivés. L’appareil sera mis à jour vers une version disposant de mises à jour de sécurité. Néanmoins, Getac recommande vivement de passer à la toute dernière version disposant de mises à jour de sécurité.

Oui, deux jeux de protections sont requis pour garantir la sécurité. Avant la mise en application finale du 9 juillet 2024, veuillez vérifier que vos appareils et tous les supports de démarrage (y compris les supports hors ligne) sont à jour et prêts pour ce renforcement de la sécurité.

1 Details of revocations and the timing of updates, please refer to Microsoft instructions.
2 L’image GRMU de certains modèles Getac sera mise à jour afin d’intégrer la mise à jour du 9 mai de Microsoft.
3 La mise à jour de sécurité de Microsoft concernant la faille CVE-2023-24932 ne prend en charge que les versions postérieures à Windows 10 21H2.
4 Une fois la récupération effectuée avec les images ci-dessus, la partition dédiée sera supprimée.
5 Les informations concernant les versions prises en charge sont susceptibles d’être modifiées par Microsoft. Pour profiter des toutes dernières informations, veuillez contacter directement Microsoft. Microsoft se réserve le droit d’apporter des changements sans lien avec Getac.
6 Une fois les nouvelles images GRMU disposant du Gestionnaire de démarrage mis à jour disponibles en téléchargement, les anciennes images GRMU ne seront plus accessibles. Elles seront remplacées par les nouvelles images intégrant le Gestionnaire de démarrage mis à jour.
7 La Base de connaissances (KB) de Microsoft ne propose des mises à jour de sécurité que pour les versions postérieures à Windows 10 21H2. Cependant, le support de récupération original est fourni avec la même version qu’au moment de la commande. Par conséquent, si les mises à jour de sécurité de Microsoft ne prennent pas en charge la version actuelle, Getac proposera la toute dernière version pouvant être mise à jour, à savoir Windows 10 22H2.
8 En cas de passage à une version antérieure, de Windows 11 Pro à Windows 10 Pro, à l’aide d’une Licence en volume de Microsoft, veuillez contacter Microsoft pour une aide à la récupération et pour plus d’informations.
9 Veuillez consulter la page de sécurité de Microsoft pour des détails sur les auto-révocations.

Clause de non-responsabilité de Getac : L’ensemble du contenu et autres informations mentionnés dans le présent communiqué ou proposés à la suite du problème décrit ici sont fournis « en l’état ». Getac décline expressément par la présente toute garantie de quelque nature que ce soit, expresse ou implicite, y compris, sans s’y limiter, les garanties de qualité marchande, d’adéquation à un usage particulier, de non-violation de la propriété intellectuelle. Tous les produits, toutes les informations et tous les chiffres indiqués sont préliminaires et basés sur les attentes actuelles, et Getac se réserve le droit de les modifier ou de les mettre à jour à tout moment et sans préavis. Les évaluations Getac ont été estimées ou simulées à l’aide d’une analyse interne, d’une simulation d’architecture ou d’une modélisation réalisée par Getac et peuvent ne pas représenter le risque réel associé à l’installation locale et l’environnement individuel des utilisateurs. Il est recommandé aux utilisateurs de déterminer le caractère applicable de ce communiqué à leurs environnements spécifiques et de prendre les mesures appropriées. L’utilisation de ce communiqué, et toutes les conséquences d’une telle utilisation sont sous la seule responsabilité, aux risques et aux frais de l’utilisateur. En aucun cas, Getac ou l’une de ses filiales ne pourront être tenues responsables de toute réclamation, tout dommage, tout coût ou toute dépense, y compris, sans s’y limiter, la perte de bénéfices, la perte de données, la perte de perspectives commerciales, les dommages compensatoires, directs, indirects, consécutifs, punitifs, dommages spéciaux ou accidentels ou interruption d’activité résultant de ou en relation avec les informations contenues dans le présent document ou les mesures que l’utilisateur décide de prendre en fonction de celles-ci. Getac se réserve le droit d’interpréter cette clause de non-responsabilité et de la mettre à jour chaque fois que nécessaire.