Microsoft publie des scripts PowerShell pour corriger le contournement de BitLocker

Microsoft a corrigé une vulnérabilité dans l’environnement de récupération Windows (WinRE) pour les systèmes Windows 10 et 11 qui pourrait permettre l’accès aux données chiffrées dans les périphériques de stockage.

Les ingénieurs de Redmond ont créé un exemple de script PowerShell pour permettre aux entreprises de mettre à jour automatiquement les images WinRE afin de protéger les appareils Windows contre une vulnérabilité de contournement de sécurité BitLocker identifiée comme CVE-2022-41099.

Il existe deux versions du script (KB5025175), qui doivent être exécutées avec des informations d’identification d’administrateur dans PowerShell, écrit la société. La version la plus robuste – PatchWinREScript_2004plus.ps1 – est destinée aux appareils exécutant Windows 10 2004 et versions ultérieures, y compris Windows 11. L’autre – PatchWinREScript_General.ps1 – est destinée à ceux avec Windows 10 v1909 et versions antérieures.

Microsoft a publié un avis sur la vulnérabilité en novembre 2022 et a mis à jour l’avis en février.

Il n’est pas facile pour les attaquants d’exploiter la faille, selon Microsoft. Si l’appareil est protégé par BitLocker TPM+PIN, les escrocs doivent connaître le code PIN TPM pour accéder au système. Le mode d’authentification multifacteur (MFA) TPM+PIN utilise le matériel de sécurité TPM (Trusted Platform Module) de l’appareil et un code PIN pour authentifier les utilisateurs. Dans ce mode, les utilisateurs doivent entrer le code PIN dans l’environnement de pré-démarrage de Windows chaque fois que l’ordinateur démarre.

“Le TPM est un composant matériel installé dans de nombreux ordinateurs plus récents par les fabricants d’ordinateurs”, écrit Microsoft dans un document en février. “Cela fonctionne avec BitLocker pour aider à protéger les données des utilisateurs et à garantir qu’un ordinateur n’a pas été altéré pendant que le système était hors ligne.”

Cependant, si un attaquant pénètre dans le système, il peut causer des dommages.

“Un attaquant réussi pourrait contourner la fonctionnalité BitLocker Device Encryption sur le périphérique de stockage système”, écrit la société. “Un attaquant ayant un accès physique à la cible pourrait exploiter cette vulnérabilité pour accéder aux données cryptées.”

La faille ne peut être exploitée que sur les systèmes avec le winre.wim sur la partition de récupération.

Les scripts permettent aux organisations de déterminer le nom du package de mise à jour dynamique du système d’exploitation utilisé pour mettre à jour l’image WinRE. Le package de mise à jour dynamique du système d’exploitation, disponible dans le catalogue Windows Update, est spécifique à la version et à l’architecture du système d’exploitation, il est donc important de choisir le bon.

Le package doit être téléchargé avant l’utilisation du script. Une fois le script exécuté, si le protecteur BitLocker TPM est présent, il reconfigurera le service WinRE pour BitLocker.

BitLocker est un outil clé utilisé par Microsoft pour protéger les données.

“BitLocker aide à atténuer l’accès non autorisé aux données en améliorant la protection des fichiers et du système”, ajoute la société. “BitLocker aide également à rendre les données inaccessibles lorsque les ordinateurs protégés par BitLocker sont mis hors service ou recyclés.” ®