Microsoft ha rilasciato uno script per semplificare l’applicazione di patch a una vulnerabilità di sicurezza relativa al bypass di BitLocker in Windows Recovery Environment (WinRE).
Questo script PowerShell (KB5025175) semplifica il processo di protezione delle immagini WinRE dai tentativi di sfruttare il difetto CVE-2022-41099 che consente agli aggressori di aggirare i dispositivi di archiviazione del sistema protetti con la funzionalità BitLocker Device Encryption. Lo sfruttamento riuscito di questo consente agli hacker con accesso fisico di accedere ai dati crittografati in attacchi a bassa complessità. Secondo Microsoft, la vulnerabilità non può essere sfruttata se l’utente ha abilitato la protezione BitLocker TPM+PIN.
La versione dello script consigliata è PatchWinREScript_2004plus.ps1 che consente di applicare gli aggiornamenti di sicurezza sui sistemi che eseguono Windows 10 2004 e versioni successive (incluso Windows 11). L’altro script di PowerShell (PatchWinREScript_General.ps1) è meno robusto e dovrebbe essere utilizzato su Windows 10 1909 e versioni precedenti (sebbene verrà eseguito su tutti i sistemi Windows 10 e Windows 11).
Gli script di patch CVE-2022-41099 possono essere eseguiti da Windows PowerShell e consentono agli amministratori di specificare il percorso e il nome del pacchetto di aggiornamento dinamico di Safe OS che deve essere utilizzato per aggiornare l’immagine Ambiente ripristino Windows. Gli script consentono inoltre di passare un parametro workDir per selezionare lo spazio scratch da utilizzare durante il processo di applicazione delle patch (se non specificato, lo script utilizzerà la cartella temporanea predefinita di Windows).
Una volta avviato, lo script eseguirà i seguenti passaggi:
- Montare l’immagine WinRE esistente (WINRE.WIM)
- Aggiornare l’immagine Ambiente ripristino Windows con il pacchetto di aggiornamento dinamico del sistema operativo specificato (aggiornamento della compatibilità) disponibile nel catalogo di Windows Update (si consiglia l’ultimo aggiornamento disponibile per la versione di Windows installata nel dispositivo)
- Smontare l’immagine WinRE
- Se è presente la protezione BitLocker TPM, riconfigurare WinRE per il servizio BitLocker.
Dopo aver eseguito lo script, non sarà necessario riavviare il sistema per completare il processo di patching dell’immagine WinRE.