CVE-2023-24932 : le support de démarrage Windows doit être mis à jour en raison des modifications apportées au démarrage sécurisé
RAPPEL
Pour chaque nouvelle version de logiciel de sauvegarde, il est plus que conseillé de refaire le support de démarrage/secours etc
C'est le cas par ex avec la sortie de Macrium en novembre 2023 mais pas que, car c'est commun à tous les ces types de programmes
https://forum.malekal.com/viewtopic.php ... 81#p547481
Idem pour les .ISO
Une image ISO sur une clé bootable ou un DVD doit également dater d'au moins mai 2023 ou plus.
Donc à chaque nouvelle version de vos programmes il faut impérativement refait le support de démarrage (le programme en tient compte)
Microsoft avait publié un très long article sur la KB5025885, qui tourne autour de la vulnérabilité de sécurité CVE-2023-24932.
Il s'agit d'une vulnérabilité de sécurité en contournant la fonctionnalité de sécurité Secure Boot. Cette vulnérabilité affecte toutes les versions Windows de 10, 11, Server et également Linux.
Microsoft avait révoqué via l'UEFI, les chargeurs de démarrage faillible
Les attaquants ayant accès à l'ordinateur, que ce soit directement ou à distance, pouvait contourner la fonction de démarrage sécurisé à l'aide du kit de démarrage BlackLotus UEFI. Il existe également un exploit en circulation à ce sujet.
Il est donc important que le support de démarrage sur une clé ou un disque dur externe soit également renouvelé et contienne la mise à jour du 9 mai ou plus, puisque celle liste est actualisée
La base de données Secure Boot Forbidden Signature Database ou Secure Boot DBX de Microsoft est essentiellement une liste de blocage pour les exécutables UEFI sur liste noire qui se sont révélés dangereux.
Microsoft comblera cette lacune en quatre phases
9.05.2023
Mises à jour pour Windows publiées à compter du 9 mai 2023 pour corriger les vulnérabilités décrites dans CVE-2023-24932. ( KB5026361 Windows 10, KB5026368 Windows 11 21H2, KB5026372 Windows 11 22H2)
Modifications apportées aux composants de démarrage Windows.
Deux fichiers de verrouillage pouvant être appliqués manuellement (une politique d'intégrité du code et une liste d'interdiction de démarrage sécurisé (DBX) mise à jour).
11.07.2023
Permet un déploiement plus simple et automatique des fichiers de verrouillage (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé (DBX)).
De nouveaux événements du journal des événements seront disponibles pour indiquer si le déploiement des fichiers de verrouillage a réussi ou non.
Package de mise à jour dynamique SafeOS pour Windows Recovery Environment (WinRE).
NOUVELLES mises à jour du 9 janvier 2024 pour Windows publiées à compter du 9 janvier 2024 incluent les éléments suivants : De nouvelles mesures d'atténuation pour bloquer des gestionnaires de démarrage vulnérables supplémentaires. Pour ces nouveaux remèdes, les médias doivent être mis à jour.
Nouvelle date de fin : modifiée du 9 juillet 2024 au 8 octobre 2024 : lorsque les mises à jour de la phase d'application seront publiées, les éléments suivants seront ajoutés : La révocation (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé) sera ajoutée après l'installation des mises à jour Windows. automatiquement appliqué sur tous les systèmes concernés et ne peut plus être désactivé.
A savoir, : Microsoft avait publié des instructions supplémentaires sur la façon de bloquer les gestionnaires de démarrage vulnérables.
https://support.microsoft.com/en-us/top ... 11119c5e91
Edit :
Octobre 2023
Signatures Kerberos PAC KB5020805 | Phase 5
Phase d’application complète. Supprime la prise en charge de la sous-clé de registre KrbtgtFullPacSignature , supprime la prise en charge du mode Audit et tous les tickets de service sans les nouvelles signatures PAC se verront refuser l'authentification.
Décembre 2023
Mises à jour des autorisations Active Directory (AD) KB5008383 | Phase 5
Phase finale de déploiement. La phase de déploiement finale peut commencer une fois que vous avez terminé les étapes répertoriées dans la section « Passer à l'action » de KB5008383 . Pour passer en mode Application , suivez les instructions de la section « Conseils de déploiement » pour définir les 28e et 29e bits de l' attribut dSHeuristics . Surveillez ensuite les événements 3044-3046. Ils signalent lorsque le mode Application a bloqué une opération d'ajout ou de modification LDAP qui aurait pu être précédemment autorisée en mode Audit .
________________
Evoqué sur le sujet : Attention avec le Dual BOOT Windows / Linux - Les réglages à connaître
https://forum.malekal.com/viewtopic.php?t=72654
Ex avec AOMEI Backupper
Une verison PRO avec clé légale est dispo sur le forum
https://forum.malekal.com/viewtopic.php ... 01#p546101