Microsoft telah merilis skrip untuk mempermudah menambal kerentanan keamanan bypass BitLocker di Lingkungan Pemulihan Windows (WinRE).
Skrip PowerShell ini menyederhanakan proses mengamankan gambar WinRE dari upaya mengeksploitasi CVE-2022-41099 cacat yang memungkinkan penyerang melewati perangkat penyimpanan sistem fitur BitLocker Device Encryption.
Eksploitasi yang berhasil atas hal ini memungkinkan pelaku ancaman dengan akses fisik untuk mengakses data terenkripsi dalam serangan dengan kompleksitas rendah.
Menurut Microsoft, kerentanan tidak dapat dieksploitasi jika pengguna telah mengaktifkan perlindungan BitLocker TPM+PIN.
“Sampel skrip PowerShell dikembangkan oleh tim produk Microsoft untuk membantu mengotomatiskan pembaruan gambar WinRE pada perangkat Windows 10 dan Windows 11,” kata Microsoft dalam dokumen dukungan yang diterbitkan pada hari Kamis.
“Jalankan skrip dengan kredensial Administrator di PowerShell pada perangkat yang terpengaruh. Ada dua skrip yang tersedia—skrip mana yang harus Anda gunakan bergantung pada versi Windows yang Anda jalankan.”
Versi skrip yang disarankan adalah PatchWinREScript_2004plus.ps1 yang membantu menerapkan pembaruan keamanan pada sistem yang menjalankan Windows 10 2004 dan yang lebih baru (termasuk Windows 11).
Skrip PowerShell lainnya (PatchWinREScript_General.ps1) kurang kuat dan harus digunakan pada Windows 10 1909 dan versi sebelumnya (walaupun akan berjalan di semua sistem Windows 10 dan Windows 11).
Cara menggunakan skrip tambalan WinRE
Skrip patch CVE-2022-41099 dapat dijalankan dari Windows PowerShell dan memungkinkan admin menentukan jalur dan nama paket pembaruan Dinamis OS Aman yang harus digunakan untuk memperbarui gambar WinRE.
Paket pembaruan ini khusus versi OS dan khusus arsitektur prosesor dan harus demikian diunduh dari Katalog Pembaruan Microsoft sebelumnya.
Skrip juga memungkinkan melewati parameter workDir untuk memilih ruang awal yang akan digunakan selama proses penambalan (jika tidak ditentukan, skrip akan menggunakan folder temp Windows default).
Setelah dimulai, skrip akan melalui langkah-langkah berikut:
- Pasang gambar WinRE yang ada (WINRE.WIM).
- Perbarui gambar WinRE dengan paket Pembaruan Dinamis OS Aman (Pembaruan Kompatibilitas) yang ditentukan yang tersedia dari Katalog Pembaruan Windows (disarankan pembaruan terbaru yang tersedia untuk versi Windows yang diinstal pada perangkat)
- Lepas gambar WinRE.
- Jika ada pelindung BitLocker TPM, itu akan mengkonfigurasi ulang WinRE untuk layanan BitLocker.
Setelah menjalankan skrip, Anda tidak perlu mem-boot ulang sistem untuk menyelesaikan proses patching gambar WinRE.
