> Windows Syscalls
ntoskrnl.exeT1542.001T1542.003T1547

NtSetSystemEnvironmentValueEx

Écrit ou supprime une variable UEFI identifiée par (nom, GUID éditeur) — la surface canonique de persistance firmware.

Prototype

NTSTATUS NtSetSystemEnvironmentValueEx(
  PUNICODE_STRING VariableName,
  LPGUID          VendorGuid,
  PVOID           Value,
  ULONG           ValueLength,
  ULONG           Attributes
);

Arguments

NameTypeDirDescription
VariableNamePUNICODE_STRINGinNom de la variable UEFI cible (ex. L"BootOrder", L"dbx", une clé OEM personnalisée).
VendorGuidLPGUIDinGUID d'espace éditeur. EFI_GLOBAL_VARIABLE pour la config de boot ; EFI_IMAGE_SECURITY_DATABASE_GUID pour les BD de clés Secure Boot.
ValuePVOIDinPointeur vers les octets de la nouvelle valeur. NULL avec ValueLength=0 supprime la variable (si les attributs le permettent).
ValueLengthULONGinTaille du tampon de valeur en octets. Zéro (avec Value NULL) demande la suppression.
AttributesULONGinAttributs de variable EFI : NON_VOLATILE, BOOTSERVICE_ACCESS, RUNTIME_ACCESS, AUTHENTICATED_WRITE_ACCESS, TIME_BASED_AUTH, APPEND_WRITE.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x18Dwin10-1507
Win10 16070x196win10-1607
Win10 17030x19Cwin10-1703
Win10 17090x19Fwin10-1709
Win10 18030x1A1win10-1803
Win10 18090x1A2win10-1809
Win10 19030x1A3win10-1903
Win10 19090x1A3win10-1909
Win10 20040x1A9win10-2004
Win10 20H20x1A9win10-20h2
Win10 21H10x1A9win10-21h1
Win10 21H20x1ABwin10-21h2
Win10 22H20x1ABwin10-22h2
Win11 21H20x1B4win11-21h2
Win11 22H20x1B8win11-22h2
Win11 23H20x1B8win11-23h2
Win11 24H20x1BBwin11-24h2
Server 20160x196winserver-2016
Server 20190x1A2winserver-2019
Server 20220x1B1winserver-2022
Server 20250x1BBwinserver-2025

Module noyau

ntoskrnl.exeNtSetSystemEnvironmentValueEx

APIs liées

SetFirmwareEnvironmentVariableExWSetFirmwareEnvironmentVariableWNtQuerySystemEnvironmentValueExNtSetSystemEnvironmentValueRtlAdjustPrivilege

Stub du syscall

4C 8B D1            mov r10, rcx
B8 BB 01 00 00      mov eax, 0x1BB
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Le pendant à fort impact de NtQuerySystemEnvironmentValueEx. C'est le chemin noyau qui sous-tend `bcdedit /set` pour de nombreux interrupteurs plateforme (test signing, mode debug, type de lancement hyperviseur), écrit les variables de politique Secure Boot (PK/KEK/db/dbx — la plupart exigeant des écritures authentifiées que l'OS ne peut pas forger seul), et est la surface vers laquelle se tourne un attaquant pour implanter une **persistance au niveau firmware** : écrire une variable EFI que le chargeur d'OS ou un shim vulnérable lit au démarrage. Nécessite SeSystemEnvironmentPrivilege. Le firmware lui-même, pas seulement le noyau, applique les vérifications de signature pour les écritures authentifiées — les modifications de PK/KEK/db sans payload d'authentification valide sont rejetées à la frontière SMM.

Usage courant par les malwares

Centre de gravité du tradecraft de persistance UEFI. **LoJax** (Sednit / APT28, 2018) en a été l'exemple fondateur : un composant utilisateur armait RwDrv de RWEverything pour écrire directement sur la flash SPI, mais des implants parallèles dans la nature utilisent NtSetSystemEnvironmentValueEx pour déposer des pointeurs de payload ou un état auxiliaire dans la NVRAM que le bootkit lit après avoir détourné la chaîne de démarrage. **BlackLotus** (2022, CVE-2022-21894 « baton drop ») écrit des entrées MOK/dbx choisies par l'attaquant et utilise la NVRAM pour mettre en place la configuration de son bootkit de seconde étape. **ESPecter**, **CosmicStrand** et **MoonBounce** (APT41) s'appuient tous sur la surface UEFI plus large pour stocker leur configuration ou pour le staging. Note défensive : écrire dbx — c.-à-d. *révoquer* des hashes de chargeurs — a été utilisé à la fois légitimement (push dbx KB5025885) et offensivement (DoS du bootloader de l'utilisateur lui-même).

Opportunités de détection

L'ETW Microsoft-Windows-Kernel-General émet des événements d'écriture firmware avec nom de variable, GUID et résultat. Les défenseurs doivent suivre trois choses : (1) quels processus appellent jamais cela, (2) la transition d'activation de privilège sur SeSystemEnvironmentPrivilege, et (3) toute écriture vers des GUID correspondant à EFI_GLOBAL_VARIABLE ou EFI_IMAGE_SECURITY_DATABASE_GUID depuis des binaires non-trusted-installer / non-OEM. Microsoft Defender for Endpoint et CrowdStrike Falcon exposent tous deux les écritures de variables UEFI dans leurs tableaux device-control / boot-integrity. Sur Windows 11 24H2 et Server 2025, l'OS recoupe en plus avec l'état System Guard Secure Launch ; les divergences apparaissent dans Microsoft-Windows-Kernel-Boot.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtSetSystemEnvironmentValueEx (SSN 0x1BB, Win11 24H2)
NtSetSystemEnvironmentValueEx PROC
    mov  r10, rcx
    mov  eax, 1BBh
    syscall
    ret
NtSetSystemEnvironmentValueEx ENDP

cLoJax-style NVRAM staging skeleton (NOT a working exploit — educational)

// Sketch only: a real bootkit ALSO needs a vulnerable / unsigned bootloader on the
// machine, a SecureBoot-disabled or signature-bypass state, and a SMM-friendly
// firmware. Modern attested boot, Secure Launch and KB5025885-class dbx pushes
// foreclose most of this on patched 2024+ systems.
#include <windows.h>

#define EFI_VARIABLE_NON_VOLATILE       0x00000001
#define EFI_VARIABLE_BOOTSERVICE_ACCESS 0x00000002
#define EFI_VARIABLE_RUNTIME_ACCESS     0x00000004

static const wchar_t* kVendorGuid =
    L"{8BE4DF61-93CA-11D2-AA0D-00E098032B8C}"; // EFI_GLOBAL_VARIABLE

BOOL plant_persistence_marker(const wchar_t* name, const void* blob, DWORD len) {
    BOOLEAN old;
    // Privilege is the first gate. Without admin + SeSystemEnvironmentPrivilege
    // the syscall returns STATUS_PRIVILEGE_NOT_HELD immediately.
    if (RtlAdjustPrivilege(SE_SYSTEM_ENVIRONMENT_PRIVILEGE, TRUE, FALSE, &old) < 0)
        return FALSE;

    return SetFirmwareEnvironmentVariableExW(
        name, kVendorGuid, (PVOID)blob, len,
        EFI_VARIABLE_NON_VOLATILE |
        EFI_VARIABLE_BOOTSERVICE_ACCESS |
        EFI_VARIABLE_RUNTIME_ACCESS);
}

rustDelete a custom NVRAM marker

// Cargo: windows = { version = "0.59", features = ["Win32_System_Environment"] }
use windows::core::*;
use windows::Win32::System::Environment::*;

fn delete_marker(name: &str, guid: &str) -> windows::core::Result<()> {
    let hn = HSTRING::from(name);
    let hg = HSTRING::from(guid);
    // ValueLength = 0 + Value = NULL + attributes = 0 => delete (per UEFI 2.x spec).
    unsafe {
        SetFirmwareEnvironmentVariableExW(
            PCWSTR(hn.as_ptr()),
            PCWSTR(hg.as_ptr()),
            None,
            0,
            0,
        )
    }?;
    Ok(())
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20