Communiqué de Getac Technology Corporation concernant la mise à jour de sécurité Microsoft

(mise à jour Windows KB5025885 portant sur les modifications de démarrage sécurisé associées à CVE-2023-24932)

Mise à jour : 05/06/2023

Contexte

La fonction de sécurité Secure Boot ayant été contournée par le bootkit BlackLotus UEFI, qui fait l’objet d’un suivi par la CVE-2023-24932, Microsoft a pris des mesures en publiant la mise à jour KB5025885 ainsi que d’autres mises à jour de sécurité le 9 mai 2023 visant à gérer les révocations du "boot manager” Windows.

Les mises à jour de sécurité de Microsoft sont divisées en trois phases¹, la phase finale étant l’application. La phase finale d’application, qui mettra en œuvre des mesures d’atténuation permanentes, est, pour le moment, prévue pour le premier trimestre de 2024.


Risques et conséquences

  • La vulnérabilité du BlackLotus UEFI bootkit permet aux hackers de prendre le contrôle d’un appareil et potentiellement de le manipuler à leur guise. Il est fortement recommandé à tous les clients d’appliquer les mises à jour de sécurité Windows publiées le 9 mai 2023 afin d’implémenter les mesures de sécurité nécessaires.
  • Les révocations seront appliquées par programmation au cours du premier trimestre 2024.¹ Par conséquent, si le disque dur d’un appareil géré par l’ancien gestionnaire de démarrage est remplacé, il ne pourra pas démarrer après la date d’exécution de la mise à jour.


Instructions détaillées de Microsoft

KB5025885 : Comment gérer les révocations du “boot manager” Windows pour les modifications du “secure boot” associées à CVE-2023-24932 – Support Microsoft


Mesures à prendre pour les utilisateurs de Getac

Il est recommandé de mettre à niveau tous les supports de démarrage avec la dernière version. Getac recommande à ses clients de suivre les mesures décrites ci-dessous en fonction de différents scénarios. Getac annoncera le calendrier de mise à disposition des images de démarrage, notamment la partition de récupération et les images ISO de Getac Recovery Media Utility (« GRMU »)².

  • Pour les clients actuels utilisant des appareils Getac : Veuillez poursuivre le processus de mise à niveau de Windows pour installer la dernière version de Windows.
  • Scénario de récupération du système ou de remplacement du disque dur après l’application des révocations :
    • Utilisation de GRMU :

      Veuillez télécharger les dernières images ISO de GRMU² et lancer la procédure de restauration du système.

    • Partition de récupération² :

      Getac publiera un outil permettant d’apporter les modifications nécessaires.

FAQ

1Dans quelles circonstances le système pourrait-il ne pas démarrer ?

À compter du premier trimestre 2024, Microsoft appliquera la révocation au moyen d’une mise à jour. L’ancien "boot manager” sera ajouté à la base de données des signatures non autorisées. Si un appareil se retrouve dans l’un des scénarios suivants impliquant l’utilisation de l’ancien "boot manager”, il ne pourra plus démarrer à compter du premier trimestre 2024.

  • L’utilisateur change son disque dur et démarre sur un système d’exploitation qui n’a pas été mis à jour avec la base de données publiée le 9 mai 2023.
  • L’utilisateur utilise l’image originale de GRMU pour le démarrage sur lecteur USB.
  • L’utilisateur démarre sur le WinPE d’origine à l’aide d’un lecteur USB.
  • L’appareil subit un démarrage PXE pour démarrer le système d’exploitation d’origine.
  • Si la partition de récupération ne dispose pas du “boot manager” mis à jour ou contient un ancien "boot manager”.
2Que dois-je faire si le système ne démarre pas après la phase finale d’application au premier trimestre 2024 ?
Désactivez le "secure boot” dans la configuration du BIOS, installez la dernière mise à jour Windows, puis activez le démarrage sécurisé.
3Les utilisateurs peuvent-ils révoquer volontairement le bootloader désactivé avant le premier trimestre 2024 ?
Après avoir appliqué la mise à jour du 9 mai, les utilisateurs peuvent suivre les instructions de Microsoft pour révoquer volontairement l’ancien "boot manager”, qui sera révoqué au premier trimestre 2024.
4Que dois-je faire si Microsoft ne fournit pas de mises à jour pour la version Windows installée sur l’appareil ?
Les utilisateurs peuvent mettre à jour manuellement leur version 22H2 de Windows 10 via Windows Update, qui inclura également la mise à jour du "boot manager”. Sinon, les utilisateurs peuvent effectuer la mise à jour vers une version comprenant des mises à jour de sécurité à l’aide du support de récupération (GRMU) fourni par Getac. ³

¹ Pour des informations détaillées sur les révocations et le calendrier des mises à jour, veuillez-vous reporter aux instructions de Microsoft.
² ³ L’image GRMU de certains modèles Getac sera mise à jour afin d’intégrer la mise à jour Microsoft du 9 mai. La date de publication de la nouvelle version de GRMU et de l’outil de partition de récupération sera annoncée ultérieurement.

Clause de non-responsabilité de Getac : L’ensemble du contenu et autres informations mentionnés dans le présent communiqué ou proposés à la suite du problème décrit ici sont fournis « en l’état ». Getac décline expressément par la présente toute garantie de quelque nature que ce soit, expresse ou implicite, y compris, sans s’y limiter, les garanties de qualité marchande, d’adéquation à un usage particulier, de non-violation de la propriété intellectuelle. Tous les produits, toutes les informations et tous les chiffres indiqués sont préliminaires et basés sur les attentes actuelles, et Getac se réserve le droit de les modifier ou de les mettre à jour à tout moment et sans préavis. Les évaluations Getac ont été estimées ou simulées à l’aide d’une analyse interne, d’une simulation d’architecture ou d’une modélisation réalisée par Getac et peuvent ne pas représenter le risque réel associé à l’installation locale et l’environnement individuel des utilisateurs. Il est recommandé aux utilisateurs de déterminer le caractère applicable de ce communiqué à leurs environnements spécifiques et de prendre les mesures appropriées. L’utilisation de ce communiqué, et toutes les conséquences d’une telle utilisation sont sous la seule responsabilité, aux risques et aux frais de l’utilisateur. En aucun cas, Getac ou l’une de ses filiales ne pourront être tenues responsables de toute réclamation, tout dommage, tout coût ou toute dépense, y compris, sans s’y limiter, la perte de bénéfices, la perte de données, la perte de perspectives commerciales, les dommages compensatoires, directs, indirects, consécutifs, punitifs, dommages spéciaux ou accidentels ou interruption d’activité résultant de ou en relation avec les informations contenues dans le présent document ou les mesures que l’utilisateur décide de prendre en fonction de celles-ci. Getac se réserve le droit d’interpréter cette clause de non-responsabilité et de la mettre à jour chaque fois que nécessaire.