KB5012170 est beaucoup de choses pour de nombreux utilisateurs de Windows. Premièrement, il s’agit d’un correctif qui s’installe sans problème ou conduit à un écran bleu de la mort (BSOD). Cela peut également être un indicateur que nous avons un problème pour obtenir des pilotes mis à jour sur nos systèmes. Cela peut montrer comment les utilisateurs ne suivent pas les mises à jour du Bios. Et cela montre que certains OEM activent Bitlocker sur les systèmes qu’ils vendent (pas nécessairement dans le bon sens).
En bref, c’est un patch problématique qui ne cesse de se dresser.
Également connue sous le nom de «Mise à jour de sécurité pour Secure Boot DBX», KB5012170 a été publiée plus tôt cette année et apporte des améliorations à la base de données de signatures interdites de démarrage sécurisé (DBX). Les appareils Windows dotés d’un micrologiciel basé sur l’interface UEFI (Unified Extensible Firmware Interface) ont le démarrage sécurisé activé. Il garantit que seuls les logiciels de confiance peuvent être chargés et exécutés pendant le processus de démarrage en utilisant des signatures cryptographiques pour vérifier l’intégrité du processus et du logiciel en cours de chargement.
Le démarrage sécurisé est souvent utilisé avec d’autres mesures de sécurité, telles que les modules de plateforme sécurisée (TPM) et les chargeurs de démarrage qui prennent en charge la gestion des clés. Il est censé protéger contre les logiciels malveillants et autres types de logiciels non autorisés qui pourraient compromettre la sécurité.
Généralement implémenté dans le micrologiciel de l’appareil, le démarrage sécurisé peut être configuré pour autoriser le chargement uniquement de logiciels de confiance signés avec une clé de confiance ; les logiciels non approuvés ne peuvent pas s’exécuter.
Cela dit, il existe un contournement de la fonctionnalité de sécurité dans Secure Boot ; il ajoute spécifiquement des signatures de modules UEFI vulnérables connus au DBX. La vulnérabilité s’appelle « Hole in the boot » et pourrait être utilisée pour contourner le Secure Boot. (Remarque : pour qu’une attaque se produise, l’attaquant aurait besoin de privilèges d’administrateur ou d’un accès physique.)
C’est là que KB5012170 entre en scène.
Sur les ordinateurs professionnels, les ordinateurs gouvernementaux ou les systèmes à risque d’attaque ciblée, c’est le type de correctif que vous voudriez installer. Mais sur les ordinateurs personnels ou les systèmes qui ne sont pas gérés ou mis à jour régulièrement avec des mises à jour de pilotes et de micrologiciels, cela peut faire plus de mal que de bien. Les effets secondaires documentés incluent les BSOD et l’erreur 0x800f0922, et à moins que vous ne bloquiez la mise à jour, elle tentera de s’installer à nouveau. Un utilisateur dans un Message Reddit a noté qu’il « avait besoin de redémarrer mon ordinateur et qu’une mise à jour était en attente de redémarrage pour terminer l’installation. J’ai redémarré et mon ordinateur n’a pas pu démarrer. J’ai eu un BSOD avec l’erreur 0xc000021a. Il semble que cela se produise sur des ordinateurs plus anciens avec des paramètres modifiés pour désactiver l’application du pilote.
À ce stade, pour les utilisateurs à domicile, la meilleure chose à faire est d’utiliser l’un des outils mis en évidence à Blockapatch.com pour bloquer KB5012170 de manière proactive. Les avantages ne l’emportent pas sur les risques.
Il y a un deuxième effet secondaire résultant de cette mise à jour. Les postes de travail sur lesquels Bitlocker est activé peuvent déclencher une demande de clé de récupération Bitlocker. Cela peut être un problème pour les particuliers et les particuliers avec des systèmes sur lesquels Bitlocker est automatiquement activé. Si vous ne savez pas où est stockée votre clé de récupération Bitlocker, vous devrez peut-être réinstaller Windows à partir de zéro. (Pour déterminer si Bitlocker est activé, cliquez sur Explorateur de fichiers et cliquez avec le bouton droit de la souris sur votre lecteur C. Si vous voyez l’option pour désactiver Bitlocker, assurez-vous de savoir où votre clé de récupération Bitlocker est stockée. Si vous configurez votre ordinateur avec un compte Microsoft, il y sera stocké. Si vous ne savez pas où se trouve votre clé de récupération Bitlocker, réinitialisez-la ou désactivez-la.)
Pour les correctifs professionnels, les effets secondaires doivent être mis en balance avec les risques de ne pas installer KB5012170. Je n’ai pas vu beaucoup de rapports BSOD d’entreprise, bien que j’ai vu des rapports de systèmes exigeant une clé de récupération Bitlocker lors du déploiement de cette mise à jour. Ainsi, avant de le déployer, passez en revue vos systèmes pour vous assurer que leur firmware est à jour.
Historiquement, dans les environnements professionnels, vous installez les mises à jour du micrologiciel lors du déploiement et ne les révisez plus jamais. Mais avec Windows 10 et Windows 11, vous ne pouvez plus être en sécurité en faisant cela. Assurez-vous d’avoir mis en place un processus pour inventorier et évaluer le micrologiciel et le mettre à jour en conséquence. Le micrologiciel doit être révisé au moins une fois par an. Maintenant que Microsoft a déplacé les versions de fonctionnalités à une cadence de publication annuelle, utilisez ce calendrier pour inclure l’examen et la mise à jour du micrologiciel, des pilotes vidéo, des pilotes audio et d’autres pilotes matériels clés qui interagissent avec le système.
Étant donné que KB5012170 (ou quelque chose de similaire) réapparaîtra probablement, assurez-vous que votre système y est préparé en le bloquant de manière proactive ou en gardant votre micrologiciel et vos pilotes à jour. C’est la meilleure façon d’éviter les problèmes sur la route.
Copyright © 2022 IDG Communications, Inc.