Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft tardará casi un año en terminar de parchear un nuevo error de arranque seguro


Esta semana, Microsoft publicó un parche para corregir un error de bypass de Secure Boot utilizado por el bootkit BlackLotus del que informamos en marzo. La vulnerabilidad original, CVE-2022-21894, fue parcheada en enero, pero el nuevo parche para CVE-2023-24932 aborda otra solución explotada activamente para sistemas que ejecutan Windows 10 y 11 y versiones de Windows Server que se remontan a Windows Server 2008.



El bootkit BlackLotus es el primer malware conocido del mundo real que puede eludir las protecciones de Secure Boot, permitiendo la ejecución de código malicioso antes de que el PC comience a cargar Windows y sus numerosas protecciones de seguridad. Secure Boot está activado por defecto desde hace más de una década en la mayoría de los PC con Windows vendidos por empresas como Dell, Lenovo, HP, Acer y otras. Los ordenadores con Windows 11 deben tenerlo activado para cumplir los requisitos del sistema del software.

Microsoft dice que la vulnerabilidad puede ser explotada por un atacante con acceso físico a un sistema o con derechos de administrador en un sistema. Puede afectar a ordenadores físicos y máquinas virtuales con Secure Boot activado.

Destacamos la nueva corrección en parte porque, a diferencia de muchas correcciones de alta prioridad de Windows, la actualización estará desactivada por defecto durante al menos unos meses después de su instalación y en parte porque eventualmente hará que los actuales medios de arranque de Windows sean inarrancables. La corrección requiere cambios en el gestor de arranque de Windows que no pueden revertirse una vez activados.

"La función Secure Boot controla con precisión el medio de arranque que se permite cargar cuando se inicia un sistema operativo, y si esta corrección no se activa correctamente, existe la posibilidad de causar interrupciones e impedir que un sistema arranque", se lee en uno de los varios artículos de soporte de Microsoft sobre la actualización.

 

Además, una vez activadas las correcciones, el PC ya no podrá arrancar desde soportes de arranque antiguos que no las incluyan. En la larga lista de medios afectados: Medios de instalación de Windows, como DVD y unidades USB creadas a partir de archivos ISO de Microsoft; imágenes de instalación de Windows personalizadas mantenidas por departamentos de TI; copias de seguridad completas del sistema; unidades de arranque de red, incluidas las utilizadas por los departamentos de TI para solucionar problemas de las máquinas y desplegar nuevas imágenes de Windows; unidades de arranque despojadas que utilizan Windows PE; y los medios de recuperación que se venden con los PC OEM.

Microsoft no quiere que los sistemas de los usuarios dejen de arrancar de repente, por lo que lanzará la actualización por fases a lo largo de los próximos meses. La versión inicial del parche requiere una importante intervención del usuario para activarlo: primero hay que instalar las actualizaciones de seguridad de mayo y, a continuación, seguir un proceso de cinco pasos para aplicar y verificar manualmente un par de "archivos de revocación" que actualizan la partición de arranque EFI oculta del sistema y el registro. De este modo, los PC dejarán de confiar en las versiones más antiguas y vulnerables del gestor de arranque.

En julio habrá una segunda actualización que no activará el parche por defecto, pero facilitará su activación. Una tercera actualización en el "primer trimestre de 2024" activará el parche por defecto y hará que los medios de arranque más antiguos no puedan arrancar en todos los PC con Windows parcheados. Microsoft afirma que está "buscando oportunidades para acelerar este calendario", aunque no está claro en qué consistiría.

Jean-Ian Boutin, director de investigación de amenazas de ESET, describió la gravedad de BlackLotus y otros bootkits cuando informamos originalmente sobre ello:

    Lo más importante es que el bootkit UEFI BlackLotus es capaz de instalarse en sistemas actualizados que utilicen la última versión de Windows con el arranque seguro activado. Aunque la vulnerabilidad es antigua, todavía es posible aprovecharla para saltarse todas las medidas de seguridad y comprometer el proceso de arranque de un sistema, dando al atacante el control sobre la fase inicial del arranque del sistema. También ilustra una tendencia en la que los atacantes se centran en la partición del sistema EFI (ESP) en lugar del firmware para sus implantes, sacrificando el sigilo para facilitar el despliegue, pero permitiendo un nivel similar de capacidades.

Esta solución no es el único incidente de seguridad reciente que pone de manifiesto las dificultades de parchear las vulnerabilidades de bajo nivel de Secure Boot y UEFI; el fabricante de ordenadores y placas base MSI sufrió recientemente la filtración de sus claves de firma en un ataque de ransomware, y la empresa no dispone de una forma sencilla de indicar a sus productos que no confíen en las actualizaciones de firmware firmadas con la clave comprometida.


Fuentes:

https://arstechnica.com/information-technology/2023/05/microsoft-patches-secure-boot-flaw-but-wont-enable-fix-by-default-until-early-2024/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.