BitLocker è una soluzione crittografica integrata nei sistemi operativi Windows che rende inaccessibili i dati a chiunque non disponga della chiave corretta. Anche se un soggetto terzo riuscisse a rimuovere fisicamente l’unità di memorizzazione protetta con BitLocker, i dati restano illeggibili.
Per godere di un elevato livello di protezione, tuttavia, è necessario configurare BitLocker affinché non utilizzi solamente il chip TPM (Trusted Platform Module) ma richieda l’inserimento di un codice PIN in fase di pre-boot. In un altro articolo abbiamo visto come impostare correttamente il sistema e proteggere i dati con BitLocker chiedendo una password all’avvio della macchina.
Senza l’impostazione di un PIN, i supporti di memorizzazione difesi con BitLocker sono suscettibili ad attacchi sferrati in hardware o via software. Abbiamo visto come bypassare BitLocker con un analizzatore logico, agendo quindi sulle comunicazioni tra CPU e chip TPM (bus SPI). Tuttavia, come ha riconosciuto Microsoft anche a inizio 2023, è possibile scavalcare BitLocker avviando il sistema dall’ambiente Windows Recovery Environment (WinRE).
WinRE è uno strumento avviato dalla Windows Recovery Partition, partizione automaticamente creata dal sistema operativo Microsoft al momento dell’installazione, che aiuta gli utenti a riprendere il controllo della macchina o superare problemi che ne impediscono il normale avvio. A marzo 2023, tuttavia, l’azienda di Redmond si affrettò a rilasciare uno script per evitare l’accesso ai dati protetti con BitLocker (modalità “solo TPM”), facendo leva proprio sull’ambiente WinRE.
La comparsa dell’errore 0x80070643 in Windows Update sulle macchine Windows 10 e Windows 11
Con il primo Patch Tuesday dell’anno, Microsoft ha distribuito i nuovi aggiornamenti KB5034441 (Windows 10) e KB5034440 (Windows 11). Si occupano di correggere una lacuna di sicurezza che riguarda, ancora una volta, proprio BitLocker e WinRE. Come spiegato nel bollettino CVE-2024-20666, eventuali utenti malintenzionati che riuscissero a impossessarsi fisicamente di un PC protetto da BitLocker (sempre e solo in modalità TPM, senza alcuna richiesta di PIN pre-boot…), possono forzare l’accesso ai dati personali altrui servendosi dell’ambiente WinRE.
L’aggiornamento pubblicato, e veicolato attraverso Windows Update, ha evidenziato un comportamento anomalo. Sui sistemi Windows 10 e Windows 11, infatti, la procedura di aggiornamento espone il codice di errore 0x80070643 e fallisce.
Nel documento di supporto che Microsoft ha appena condiviso, l’azienda spiega che il riferimento all’errore non è corretto dal momento che dovrebbe essere il seguente: CBS_E_INSUFFICIENT_DISK_SPACE
. Secondo la società, il problema sarebbe legato alle dimensioni della partizione di ripristino presente sul sistema Windows, non abbastanza ampia per ricevere le modifiche applicate dall’aggiornamento di questo mese.
Il problema delle dimensioni della partizione di ripristino: qualcosa non torna
Al momento dell’installazione, come accennato in precedenza, Windows 10 e Windows 11 creano una partizione di ripristino delle dimensioni di circa 500 MB. Stando a quanto affermato da Microsoft potrebbe non essere sufficiente per ospitare il nuovo file winre.wim
(l’immagine dell’ambiente WinRE aggiornato) distribuito con i pacchetti KB5034441 e KB5034440.
Se, all’interno della partizione di ripristino, non fossero disponibili almeno 250 MB di spazio libero, ecco che potrebbe presentarsi il messaggio d’errore del quale stiamo parlando.
La società guidata da Satya Nadella aveva in primis pubblicato una guida per ridimensionare la partizione di WinRE in modo da consentire l’installazione dell’aggiornamento a protezione di BitLocker. Tuttavia, non è possibile non evidenziare come si tratti di una procedura cervellotica, intricata e certamente inadatta all’utente comune.
Tra l’altro, se si prova ad estendere la partizione di ripristino portandola a 1 GB, l’aggiornamento non risulta installabile e presenta lo stesso problema. È altresì importante evidenziare che le difficoltà con l’installazione dell’update sono riscontrabili anche da chi effettua un’installazione da zero di Windows 10. A dimostrazione di quanto l’errore 0x80070643 sia diffuso e non limitato a casi isolati.
Microsoft non risolverà il problema dell’errore 0x80070643, almeno in Windows 10
Con un annuncio pubblicato il 30 aprile 2024, i tecnici Microsoft spiegano che non sarà resa disponibile alcuna patch correttiva per sbarazzarsi dell’errore 0x80070643. La spiegazione è pubblicata in questo documento di supporto.
Microsoft conferma che la problematica interessa Windows 10, Windows 11 e Windows Server 2022 ma al momento sembra aver offerto una guida soltanto per gli utenti di Windows 10.
Innanzi tutto, ha chiarito che i sistemi sui quali non è presente un ambiente di ripristino, sono esentati dalla necessità di installare la patch KB5034441. Anche in presenza di BitLocker. Se digitando il comando reagentc /info
non si vedesse apparire Enabled, significa che non si deve procedere con alcun intervento.
Dal momento che l’azienda di Redmond non rilascerà alcuna patch correttiva, suggerisce agli utenti interessati dall’errore 0x80070643 di estendere la partizione di ripristino aumentandone le dimensioni. Per procedere in tal senso, Microsoft raccomanda di usare lo script PowerShell qui disponibile.
Credit immagine in apertura: iStock.com – ermingut