KB5012170 signifie beaucoup pour de nombreux utilisateurs de Windows. Tout d'abord, c'est un correctif qui s'installe sans problème ou conduit à un écran bleu de la mort (BSOD). Cela peut également être un indicateur que nous avons du mal à obtenir des pilotes mis à jour sur nos systèmes. Cela peut montrer que les utilisateurs ne suivent pas les mises à jour du Bios. Et cela montre que certains OEM activent Bitlocker sur les systèmes qu'ils vendent (pas nécessairement dans le bon sens).
En bref, c'est un patch problématique qui continue d'apparaître.
Également connue sous le nom de "Mise à jour de sécurité pour Secure Boot DBX", KB5012170 a été publiée plus tôt cette année et apporte des améliorations à la base de données de signatures interdites Secure Boot (DBX). Les appareils Windows dotés d'un micrologiciel basé sur l'interface UEFI (Unified Extensible Firmware Interface) ont le démarrage sécurisé activé. Garantit que seuls les logiciels de confiance peuvent être chargés et exécutés pendant le processus de démarrage en utilisant des signatures cryptographiques pour vérifier l'intégrité du processus et du logiciel en cours de chargement.
Le démarrage sécurisé est souvent utilisé avec d'autres mesures de sécurité, telles que les modules de plateforme sécurisée (TPM) et les chargeurs de démarrage qui prennent en charge la gestion des clés. Il est censé protéger contre les logiciels malveillants et autres types de logiciels non autorisés qui pourraient compromettre la sécurité.
Généralement implémenté dans le micrologiciel de l'appareil, Secure Boot peut être configuré pour autoriser le chargement uniquement de logiciels de confiance signés avec une clé de confiance ; les logiciels non approuvés ne peuvent pas s'exécuter.
Cela étant dit, il existe un contournement de la fonctionnalité de sécurité dans Secure Boot ; ajoute spécifiquement des signatures de modules UEFI vulnérables connus au DBX. La vulnérabilité est appelée "Boot Hole" et pourrait être utilisée pour contourner Secure Boot. (Remarque : pour qu'une attaque se produise, l'attaquant aurait besoin de privilèges administratifs ou d'un accès physique.)
C'est là que KB5012170 entre en jeu.
Sur les ordinateurs d'entreprise, les ordinateurs du gouvernement ou les systèmes à risque d'attaques ciblées, c'est le type de correctif que vous souhaitez installer. Mais sur les ordinateurs personnels ou les systèmes qui ne sont pas régulièrement entretenus ou mis à jour avec des mises à jour de pilotes et de micrologiciels, cela peut faire plus de mal que de bien. Les effets secondaires documentés incluent BSOD et l'erreur 0x800f0922 et à moins que vous ne bloquiez la mise à jour, elle essaiera de s'installer à nouveau. Un utilisateur dans un post Reddit a noté que "J'avais besoin de redémarrer mon ordinateur et une mise à jour attendait un redémarrage pour terminer l'installation. J'ai redémarré et mon ordinateur n'a pas pu démarrer. J'avais un BSOD avec l'erreur 0xc000021a, semble se produire sur les anciens ordinateurs avec des configurations modifiées pour désactiver l'application du pilote.
À ce stade, pour les utilisateurs à domicile, la meilleure chose à faire est d'utiliser l'un des outils proposés sur Blockapatch.com pour bloquer de manière proactive KB5012170. Les avantages ne l'emportent pas sur les risques.
Il y a un deuxième effet secondaire résultant de cette mise à jour. Les postes de travail compatibles avec Bitlocker peuvent déclencher une demande de clé de récupération Bitlocker. Cela peut être un problème pour les particuliers et les personnes disposant de systèmes sur lesquels Bitlocker est automatiquement activé. Si vous ne savez pas où est stockée votre clé de récupération Bitlocker, vous devrez peut-être réinstaller Windows à partir de zéro. (Pour déterminer si Bitlocker est activé, cliquez sur Explorateur de fichiers et cliquez avec le bouton droit sur votre lecteur C. Si vous voyez l'option de désactiver Bitlocker, assurez-vous de savoir où votre clé de récupération Bitlocker est stockée (si vous avez configuré votre ordinateur avec un compte Microsoft, elle y sera stockée. Si vous ne savez pas où se trouve votre clé de récupération Bitlocker, veuillez la réinitialiser ou la désactiver.)
Pour les correctifs professionnels, les effets secondaires doivent être mis en balance avec les risques de ne pas installer KB5012170. Je n'ai pas vu beaucoup de rapports de BSOD d'entreprise, bien que j'ai vu des rapports de systèmes nécessitant une clé de récupération Bitlocker lors du déploiement de cette mise à jour. Donc, avant de déployer, vérifiez vos systèmes pour vous assurer que votre micrologiciel est à jour.
Historiquement, dans les environnements commerciaux, vous installez les mises à jour du micrologiciel lors du déploiement et ne revenez jamais en arrière. Mais avec Windows 10 et Windows 11, vous ne pouvez plus être en sécurité en faisant cela. Assurez-vous d'avoir un processus en place pour inventorier et tester le micrologiciel et le mettre à jour en conséquence. Le firmware doit être vérifié au moins une fois par an. Maintenant que Microsoft a déplacé les versions de fonctionnalités vers une cadence de publication annuelle, utilisez ce calendrier pour inclure la révision et la mise à jour du micrologiciel, des pilotes vidéo, des pilotes audio et d'autres pilotes matériels clés qui interagissent avec le système.
Étant donné que KB5012170 (ou quelque chose de similaire) est susceptible de réapparaître, assurez-vous que votre système y est préparé en le bloquant de manière proactive ou en gardant votre micrologiciel et vos pilotes à jour. C'est le meilleur moyen d'éviter des problèmes à l'avenir.
Copyright © 2022 IDG Communications, Inc.