Durante il patch day di ferragosto Microsoft ha pubblicato, tra i vari aggiornamenti, anche il pacchetto KB5012170 utile per migliorare la protezione dei sistemi in fase di boot.
L’obiettivo della patch Microsoft è quello di risolvere alcune vulnerabilità individuate all’interno di vari bootloader UEFI: eventuali aggressori possono sfruttarle per scavalcare le difese di Secure Boot quindi caricare ed eseguire codice non autorizzato sprovvisto di una firma digitale approvata.
L’aggiornamento di agosto 2022 agisce sulla struttura del Secure Boot Forbidden Signature Database (DBX), il “contenitore” che contiene la lista dei componenti software da bloccare al momento dell’avvio del sistema. Microsoft ha dichiarato che l’intervento consente di scongiurare anche gli attacchi BootHole che interessano il bootloader GRUB2.
Il fatto è che su alcuni sistemi sui quali è abilitato Microsoft BitLocker per proteggere i dati su hard disk e SSD quest’ultimo mostra all’avvio la schermata di ripristino. La buona notizia è che il problema si risolve semplicemente digitando il codice di ripristino di BitLocker: esso può essere recuperato da un supporto cartaceo, da un file, da una chiavetta USB o da un account Microsoft a seconda di dove il dato era stato salvato al momento della configurazione dell’unità BitLocker. Sui sistemi aziendali il codice di ripristino può essere recuperato attraverso Active Directory.
Oltre ai problemi di ripristino di BitLocker, molti utenti – dopo l’installazione dell’aggiornamento KB5012170 – hanno riscontrato tempi di avvio lenti o una modifica sulla configurazione dei dischi, passati da RAID ad AHCI nelle impostazioni del firmware. Il problema è in questo caso più grave perché richiede un intervento manuale sul BIOS per ogni singolo dispositivo interessato.
Fortunatamente gli utenti che riscontrano il problema lo rilevano una volta sola e il comportamento anomalo scompare dopo l’inserimento della chiave di ripristino BitLocker o dopo la modifica della configurazione delle unità di memorizzazione.
Il nostro consiglio, prima di installare l’aggiornamento KB5012170, consiste nel verificare se il produttore della scheda madre abbia rilasciato un aggiornamento recente del firmware UEFI.
Su alcuni sistemi, tra l’altro, l’installazione del pacchetto KB5012170 non va a buon fine con Windows Update che mostra il codice d’errore 0x800f0922
: questo accade quando risultasse in uso un bootloader non supportato. Anche in questo caso l’aggiornamento del firmware UEFI permette di risolvere il problema.