NtSetSystemEnvironmentValueEx
Écrit ou supprime une variable UEFI identifiée par (nom, GUID éditeur) — la surface canonique de persistance firmware.
Prototype
NTSTATUS NtSetSystemEnvironmentValueEx( PUNICODE_STRING VariableName, LPGUID VendorGuid, PVOID Value, ULONG ValueLength, ULONG Attributes );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| VariableName | PUNICODE_STRING | in | Nom de la variable UEFI cible (ex. L"BootOrder", L"dbx", une clé OEM personnalisée). |
| VendorGuid | LPGUID | in | GUID d'espace éditeur. EFI_GLOBAL_VARIABLE pour la config de boot ; EFI_IMAGE_SECURITY_DATABASE_GUID pour les BD de clés Secure Boot. |
| Value | PVOID | in | Pointeur vers les octets de la nouvelle valeur. NULL avec ValueLength=0 supprime la variable (si les attributs le permettent). |
| ValueLength | ULONG | in | Taille du tampon de valeur en octets. Zéro (avec Value NULL) demande la suppression. |
| Attributes | ULONG | in | Attributs de variable EFI : NON_VOLATILE, BOOTSERVICE_ACCESS, RUNTIME_ACCESS, AUTHENTICATED_WRITE_ACCESS, TIME_BASED_AUTH, APPEND_WRITE. |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x18D | win10-1507 |
| Win10 1607 | 0x196 | win10-1607 |
| Win10 1703 | 0x19C | win10-1703 |
| Win10 1709 | 0x19F | win10-1709 |
| Win10 1803 | 0x1A1 | win10-1803 |
| Win10 1809 | 0x1A2 | win10-1809 |
| Win10 1903 | 0x1A3 | win10-1903 |
| Win10 1909 | 0x1A3 | win10-1909 |
| Win10 2004 | 0x1A9 | win10-2004 |
| Win10 20H2 | 0x1A9 | win10-20h2 |
| Win10 21H1 | 0x1A9 | win10-21h1 |
| Win10 21H2 | 0x1AB | win10-21h2 |
| Win10 22H2 | 0x1AB | win10-22h2 |
| Win11 21H2 | 0x1B4 | win11-21h2 |
| Win11 22H2 | 0x1B8 | win11-22h2 |
| Win11 23H2 | 0x1B8 | win11-23h2 |
| Win11 24H2 | 0x1BB | win11-24h2 |
| Server 2016 | 0x196 | winserver-2016 |
| Server 2019 | 0x1A2 | winserver-2019 |
| Server 2022 | 0x1B1 | winserver-2022 |
| Server 2025 | 0x1BB | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 BB 01 00 00 mov eax, 0x1BB F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
Le pendant à fort impact de NtQuerySystemEnvironmentValueEx. C'est le chemin noyau qui sous-tend `bcdedit /set` pour de nombreux interrupteurs plateforme (test signing, mode debug, type de lancement hyperviseur), écrit les variables de politique Secure Boot (PK/KEK/db/dbx — la plupart exigeant des écritures authentifiées que l'OS ne peut pas forger seul), et est la surface vers laquelle se tourne un attaquant pour implanter une **persistance au niveau firmware** : écrire une variable EFI que le chargeur d'OS ou un shim vulnérable lit au démarrage. Nécessite SeSystemEnvironmentPrivilege. Le firmware lui-même, pas seulement le noyau, applique les vérifications de signature pour les écritures authentifiées — les modifications de PK/KEK/db sans payload d'authentification valide sont rejetées à la frontière SMM.
Usage courant par les malwares
Centre de gravité du tradecraft de persistance UEFI. **LoJax** (Sednit / APT28, 2018) en a été l'exemple fondateur : un composant utilisateur armait RwDrv de RWEverything pour écrire directement sur la flash SPI, mais des implants parallèles dans la nature utilisent NtSetSystemEnvironmentValueEx pour déposer des pointeurs de payload ou un état auxiliaire dans la NVRAM que le bootkit lit après avoir détourné la chaîne de démarrage. **BlackLotus** (2022, CVE-2022-21894 « baton drop ») écrit des entrées MOK/dbx choisies par l'attaquant et utilise la NVRAM pour mettre en place la configuration de son bootkit de seconde étape. **ESPecter**, **CosmicStrand** et **MoonBounce** (APT41) s'appuient tous sur la surface UEFI plus large pour stocker leur configuration ou pour le staging. Note défensive : écrire dbx — c.-à-d. *révoquer* des hashes de chargeurs — a été utilisé à la fois légitimement (push dbx KB5025885) et offensivement (DoS du bootloader de l'utilisateur lui-même).
Opportunités de détection
L'ETW Microsoft-Windows-Kernel-General émet des événements d'écriture firmware avec nom de variable, GUID et résultat. Les défenseurs doivent suivre trois choses : (1) quels processus appellent jamais cela, (2) la transition d'activation de privilège sur SeSystemEnvironmentPrivilege, et (3) toute écriture vers des GUID correspondant à EFI_GLOBAL_VARIABLE ou EFI_IMAGE_SECURITY_DATABASE_GUID depuis des binaires non-trusted-installer / non-OEM. Microsoft Defender for Endpoint et CrowdStrike Falcon exposent tous deux les écritures de variables UEFI dans leurs tableaux device-control / boot-integrity. Sur Windows 11 24H2 et Server 2025, l'OS recoupe en plus avec l'état System Guard Secure Launch ; les divergences apparaissent dans Microsoft-Windows-Kernel-Boot.
Exemples de syscalls directs
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtSetSystemEnvironmentValueEx (SSN 0x1BB, Win11 24H2)
NtSetSystemEnvironmentValueEx PROC
mov r10, rcx
mov eax, 1BBh
syscall
ret
NtSetSystemEnvironmentValueEx ENDPcLoJax-style NVRAM staging skeleton (NOT a working exploit — educational)
// Sketch only: a real bootkit ALSO needs a vulnerable / unsigned bootloader on the
// machine, a SecureBoot-disabled or signature-bypass state, and a SMM-friendly
// firmware. Modern attested boot, Secure Launch and KB5025885-class dbx pushes
// foreclose most of this on patched 2024+ systems.
#include <windows.h>
#define EFI_VARIABLE_NON_VOLATILE 0x00000001
#define EFI_VARIABLE_BOOTSERVICE_ACCESS 0x00000002
#define EFI_VARIABLE_RUNTIME_ACCESS 0x00000004
static const wchar_t* kVendorGuid =
L"{8BE4DF61-93CA-11D2-AA0D-00E098032B8C}"; // EFI_GLOBAL_VARIABLE
BOOL plant_persistence_marker(const wchar_t* name, const void* blob, DWORD len) {
BOOLEAN old;
// Privilege is the first gate. Without admin + SeSystemEnvironmentPrivilege
// the syscall returns STATUS_PRIVILEGE_NOT_HELD immediately.
if (RtlAdjustPrivilege(SE_SYSTEM_ENVIRONMENT_PRIVILEGE, TRUE, FALSE, &old) < 0)
return FALSE;
return SetFirmwareEnvironmentVariableExW(
name, kVendorGuid, (PVOID)blob, len,
EFI_VARIABLE_NON_VOLATILE |
EFI_VARIABLE_BOOTSERVICE_ACCESS |
EFI_VARIABLE_RUNTIME_ACCESS);
}rustDelete a custom NVRAM marker
// Cargo: windows = { version = "0.59", features = ["Win32_System_Environment"] }
use windows::core::*;
use windows::Win32::System::Environment::*;
fn delete_marker(name: &str, guid: &str) -> windows::core::Result<()> {
let hn = HSTRING::from(name);
let hg = HSTRING::from(guid);
// ValueLength = 0 + Value = NULL + attributes = 0 => delete (per UEFI 2.x spec).
unsafe {
SetFirmwareEnvironmentVariableExW(
PCWSTR(hn.as_ptr()),
PCWSTR(hg.as_ptr()),
None,
0,
0,
)
}?;
Ok(())
}Mappings MITRE ATT&CK
Last verified: 2026-05-20