Microsoft emite una solución opcional para Secure Boot zero

Jun 29, 2023

Microsoft ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de día cero de arranque seguro explotada por el malware BlackLotus UEFI para infectar sistemas Windows completamente parcheados.

El arranque seguro es una característica de seguridad que bloquea los cargadores de arranque que el OEM no confía en computadoras con firmware de interfaz de firmware extensible unificada (UEFI) y un chip de módulo de plataforma confiable (TPM) para evitar que los rootkits se carguen durante el proceso de inicio.

Según una publicación de blog del Centro de respuesta de seguridad de Microsoft, la falla de seguridad (rastreada como CVE-2023-24932) se utilizó para eludir los parches publicados para CVE-2022-21894, otro error de arranque seguro del que se abusó en los ataques de BlackLotus el año pasado.

"Para protegerse contra este ataque, se incluye una solución para el administrador de arranque de Windows (CVE-2023-24932) en la versión de actualización de seguridad del 9 de mayo de 2023, pero está deshabilitada de forma predeterminada y no proporcionará protecciones", dijo la compañía.

"Esta vulnerabilidad permite a un atacante ejecutar código autofirmado en el nivel de Interfaz de firmware extensible unificada (UEFI) mientras el arranque seguro está habilitado.

"Esto lo utilizan los actores de amenazas principalmente como un mecanismo de persistencia y evasión de defensa. La explotación exitosa depende de que el atacante tenga acceso físico o privilegios de administrador local en el dispositivo objetivo".

Todos los sistemas Windows donde están habilitadas las protecciones de arranque seguro se ven afectados por esta falla, incluidos los dispositivos locales, virtuales y basados ​​en la nube.

Sin embargo, los parches de seguridad CVE-2023-24932 publicados hoy solo están disponibles para las versiones compatibles de Windows 10, Windows 11 y Windows Server.

Para determinar si las protecciones de arranque seguro están habilitadas en su sistema, puede ejecutar el comando msinfo32 desde el símbolo del sistema de Windows para abrir la aplicación Información del sistema.

El arranque seguro se activa si ve el mensaje "Estado de arranque seguro activado" en el lado izquierdo de la ventana después de seleccionar "Resumen del sistema".

Si bien las actualizaciones de seguridad publicadas hoy por Redmond contienen una solución al administrador de arranque de Windows, están deshabilitadas de forma predeterminada y no eliminarán el vector de ataque explotado en los ataques de BlackLotus.

Para defender sus dispositivos Windows, los clientes deben someterse a un procedimiento que requiere múltiples pasos manuales "para actualizar el dispositivo de arranque y aplicar revocaciones antes de habilitar esta actualización".

Para habilitar manualmente las protecciones para el error de omisión CVE-2023-24932 de arranque seguro, debe seguir los siguientes pasos en este orden exacto (de lo contrario, el sistema ya no arrancará):

Microsoft también está adoptando un enfoque gradual para hacer cumplir las protecciones que abordan esta falla de seguridad para reducir el impacto en el cliente al habilitar las protecciones CVE-2023-24932.

El cronograma de implementación incluye tres fases:

Microsoft también advirtió a los clientes que no hay forma de revertir los cambios una vez que las mitigaciones CVE-2023-24932 estén completamente implementadas.

"Una vez que la mitigación de este problema está habilitada en un dispositivo, lo que significa que se han aplicado las revocaciones, no se puede revertir si continúa usando el arranque seguro en ese dispositivo", dijo Microsoft.

"Ni siquiera reformatear el disco eliminará las revocaciones si ya se han aplicado".

Actualización: título revisado para explicar que se trata de una solución opcional.

El código fuente del malware BlackLotus Windows UEFI se filtró en GitHub

El nuevo malware P2PInfect se dirige a servidores Redis de Linux y Windows

CISA ordena a las agencias gubernamentales mitigar los días cero de Windows y Office

El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas

Apple corrige los días cero utilizados para implementar software espía de triangulación a través de iMessage