La solución de Secure Boot de Microsoft tardará casi un año en terminar de solucionarse

A principios de esta semana, Microsoft lanzó un parche para corregir un error de omisión de arranque seguro utilizado por el bootkit BlackLotus. La vulnerabilidad original, CVE-2022-21894, se corrigió en enero, pero el nuevo parche para CVE-2023-24932 aborda otra solución alternativa explotada activamente para sistemas que ejecutan Windows 10 y 11 y versiones de Windows Server que se remontan a Windows Server 2008.

El bootkit BlackLotus es el primer malware conocido que puede eludir las protecciones de arranque seguro, lo que permite la ejecución de código malicioso antes de que la PC comience a cargar Windows y sus muchas protecciones de seguridad. Secure Boot se ha habilitado de forma predeterminada durante más de una década en la mayoría de las PC con Windows vendidas por compañías como Dell, Lenovo, HP, Acer y otras. Las PC que ejecutan Windows 11 deben tenerlo habilitado para cumplir con los requisitos del sistema del software.

Microsoft dice que la vulnerabilidad puede ser explotada por un atacante con acceso físico a un sistema o derechos de administrador en un sistema. Puede afectar a PC físicas y máquinas virtuales con el arranque seguro habilitado.

Destacamos la nueva corrección en parte porque, a diferencia de muchas correcciones de Windows de alta prioridad, la actualización se desactivará de forma predeterminada durante al menos unos meses después de su instalación y en parte porque eventualmente hará que los medios de arranque actuales de Windows no se puedan iniciar. La solución requiere cambios en el administrador de arranque de Windows que no se pueden revertir una vez que se han habilitado.

"La función de arranque seguro controla con precisión los medios de arranque que pueden cargarse cuando se inicia un sistema operativo, y si esta solución no está habilitada correctamente, existe la posibilidad de causar interrupciones y evitar que el sistema se inicie", dice uno de los varios artículos de soporte de Microsoft sobre la actualización.

Además, una vez que se hayan habilitado las correcciones, su PC ya no podrá iniciarse desde un dispositivo de arranque anterior que no incluya las correcciones. La lista de medios afectados es muy larga: Windows instalado desde DVD y USB; medios creados a partir de archivos ISO de Microsoft; imágenes de instalación de Windows personalizadas; copias de seguridad completas del sistema; etc.

"La función de arranque seguro controla con precisión los medios de arranque que pueden cargarse cuando se inicia un sistema operativo, y si esta solución no está habilitada correctamente, existe la posibilidad de causar interrupciones y evitar que el sistema se inicie", dice uno. de varios artículos de soporte de Microsoft sobre la actualización.

Para evitar que los sistemas de los usuarios no se puedan iniciar repentinamente, Microsoft implementará la actualización en fases durante los próximos meses. La versión inicial del parche requiere una intervención sustancial del usuario para habilitarse: primero debe instalar las actualizaciones de seguridad de mayo, luego usar un proceso de cinco pasos para aplicar y verificar manualmente un par de "archivos de revocación" que actualizan la partición de arranque EFI oculta. Esto hará que las PC ya no confíen en las versiones más antiguas y vulnerables del gestor de arranque.

Seguirá una segunda actualización en julio que no habilitará el parche de forma predeterminada, pero lo hará más fácil de habilitar. Una tercera actualización en el "primer trimestre de 2024" habilitará la solución de forma predeterminada y hará que los medios de arranque más antiguos no se puedan iniciar en todas las PC con Windows parcheadas. Microsoft dice que está "buscando oportunidades para acelerar este cronograma", aunque no está claro qué implicaría eso.

Esta solución no es el único incidente de seguridad reciente que destaca las dificultades de parchear las vulnerabilidades de arranque seguro y UEFI de bajo nivel. El fabricante de computadoras y placas base MSI recientemente filtró sus claves de firma en un ataque de ransomware, y no hay una manera simple para que la compañía le diga a sus productos que no confíen en las actualizaciones de firmware firmadas con la clave comprometida.

Fuente: ArsTechnica

Suscríbete a nuestro Boletín