Microsoft、「BitLocker」の脆弱性「CVE-2024-20666」へ対処するスクリプトを公開

同社のサポートサイト

　「BitLocker」のセキュリティ機能がバイパスされてしまう脆弱性「CVE-2024-20666」に対処するため、「Windows 回復環境」（WinRE）の更新を自動化する「PowerShell」サンプルスクリプトが、米Microsoftのサポートページで公開された。

　「CVE-2024-20666」は、「BitLocker」デバイス暗号化機能をバイパスし、ターゲットへ物理的にアクセスできる状況であれば暗号化データにアクセスできてしまうという脆弱性。深刻度は4段階中2番目に高い「Important」と評価されている。

　この脆弱性に対処するには「WinRE」の更新が必要だが、「Windows 11 バージョン 23H2/22H2」環境であればプロセスは完全に自動化されており、ユーザー側での対応は不要。それ以外の環境に関しても、今回リリースされたスクリプトを利用すれば、自動で展開できる。

　サンプルスクリプトは「Windows 10 バージョン 2004」以降（Windows 11）を含む環境向けと、汎用的なバージョンの2種類が用意されている。後者ならばOSのバージョンを問わず利用できるが、前者はOSの最新機能を活用しており、より堅牢だという。具体的には、以下の処理が行われているとのこと。

• 既存の「WinRE」イメージ（WINRE.WIM）をマウント
• 「Windows Update カタログ」から指定の「Safe OS Dynamic Update」（Compatibility Update）パッケージを入手し、「WinRE」イメージを更新
• 「WinRE」イメージをアンマウント
• 「BitLocker」TPMプロテクターが存在する場合、「BitLocker」サービス用に「WinRE」を再設定

　なお、「CVE-2024-20666」への対策プログラムには回復領域のサイズが不足している環境でエラーが発生する既知の問題があるので注意。