Después de May Patch Day para Windows 10, Windows 11 y Windows Server, Microsoft ha publicado una guía para administradores de arranque vulnerables. Explicar cómo lidiar con la vulnerabilidad UEFI llamada BlackLotus.
descargar…
Con este día de parche, Microsoft finalmente ha respondido y ahora está tratando de bloquear cargadores de arranque maliciosos como BlackLotus malicioso con una actualización. La vulnerabilidad que creó el primer conjunto de arranque UEFI descubierto se conoce desde hace meses.
bootkit es básicamente un administrador de arranque de Windows malicioso. Se instala al inicio del sistema Windows y evita contramedidas. Desafortunadamente, la actualización no significa que el peligro haya terminado todavía. Lo que hacen las nuevas actualizaciones de Windows es cerrar la vulnerabilidad que permite que el bootkit UEFI se infiltre en los sistemas y luego eluda el software de seguridad como Defender. Sin embargo, esto no ayuda al sistema ya comprometido.
Ad tire del gestor de arranque
La vulnerabilidad restante es que un atacante con privilegios administrativos o acceso físico al dispositivo puede revertir el administrador de arranque a una versión sin la corrección de seguridad.La vulnerabilidad de reversión está siendo explotada por el malware de omisión de arranque seguro BlackLotus, corregido en CVE-2023-24932. Para solucionar este problema, reiniciaremos los administradores de arranque vulnerables”.
Ya hemos explicado en un artículo cómo puede identificar el ataque del grupo de arranque BlackLotus UEFI en su computadora.
Vídeos sobre Windows 10
Microsoft ahora anuncia que el parche es la primera fase de implementación de la actualización de seguridad. Esto era ahora para más tarde Manual (KB5027455) que describe cómo evitar administradores de arranque o grupos de arranque vulnerables en Windows. Este artículo de soporte solo está disponible en Microsoft en inglés. Es por eso que traducimos una parte para ti y la agregamos al final de la publicación.
Solo menú limitado
Según el equipo de Windows, la lista Secure Boot DBX ya incluye algunos binarios de aplicaciones UEFI vulnerables. Sin embargo, su capacidad de almacenamiento es limitada ya que se encuentra en la memoria flash del firmware. Por lo tanto, una lista de bloqueo DBX o UEFI solo puede contener una cantidad limitada de estos archivos. La base de datos de firmas prohibidas de arranque seguro o DBX es la lista negra ahora más importante del software UEFI que ha sido clasificado como malicioso.
Por lo tanto, en lugar de confiar únicamente en DBX de arranque seguro, Microsoft recomienda usar la política de Control de aplicaciones de Windows Defender (WDAC) también revisada que está disponible en Windows 10 y Windows 11. Los detalles sobre la creación de políticas seguras de UEFI también se pueden encontrar en el manual.
KB5027455: Cómo bloquear, más información
Una forma de evitar que el firmware cargue archivos binarios EFI vulnerables es incluir hashes de aplicaciones vulnerables en la Lista bloqueada de UEFI (DBX). La lista DBX se almacena en la memoria flash gestionada por el firmware del dispositivo. Una limitación de este método de bloqueo es la memoria flash de firmware limitada disponible para el almacenamiento DBX. Dada esta limitación y la gran cantidad de administradores de arranque que deberían prohibirse (administradores de arranque de Windows de los últimos 10 años o más), no se puede confiar en DBX por sí solo para este problema.
Para este problema, elegimos un método híbrido para evitar administradores de arranque vulnerables. Solo se han agregado a DBX algunos administradores de arranque lanzados en versiones anteriores de Windows. Windows 10 y versiones posteriores usan una política de control de aplicaciones de Windows Defender (WDAC) que bloquea los administradores de arranque de Windows vulnerables.
Cuando la política se aplica a un sistema Windows, el administrador de arranque «bloquea» la política del sistema agregando una variable al firmware UEFI. Los administradores de arranque de Windows respetan la política y el bloqueo UEFI. Si el bloqueo UEFI está en su lugar y se elimina la política, el Administrador de arranque de Windows no se iniciará. Si la política está presente, el administrador de arranque no se iniciará si la política lo bloquea.
- Microsoft responde al malware BlackLotus: la actualización cierra la vulnerabilidad
- Las instrucciones (KB5027455) brindan información sobre cómo bloquear administradores de arranque vulnerables
- La lista Secure Boot DBX contiene un número limitado de archivos maliciosos
- Microsoft recomienda que utilice el Control de aplicaciones de Windows Defender
- Cree las políticas de seguridad UEFI descritas en la guía
- Los sistemas comprometidos no están protegidos del peligro.
Ver también:
Temas relacionados
«Erudito en viajes incurable. Pensador. Nerd zombi certificado. Pionero de la televisión extrema. Explorador general. Webaholic».
