A principios de esta semana, Microsoft lanzó un parche para corregir un error de omisión de arranque seguro utilizado por el kit de arranque BlackLotus del que informamos en marzo. La vulnerabilidad original, CVE-2022-21894fue parcheado en enero, pero el nuevo parche para CVE-2023-24932 aborda otra solución alternativa explotada activamente para sistemas que ejecutan Windows 10 y 11 y versiones de Windows Server que se remontan a Windows Server 2008.
El bootkit BlackLotus es el primer malware del mundo real co nocido que pue de eludir las protecciones de arranque seguro, lo que permite la ejecución de código malicioso antes de que su PC comience a cargar Windows y sus muchas protecciones de seguridad. Secure Boot se ha habilitado de forma predeterminada durante más de una década en la mayoría de las PC con Windows vendidas por compañías como Dell, Lenovo, HP, Acer y otras. Las PC que ejecutan Windows 11 deben tenerlo habilitado para cumplir con los requisitos del sistema del software.
Microsoft dice que la vulnerabilidad puede ser explotada por un atacante con acceso físico a un sistema o derechos de administrador en un sistema. Puede afectar a PC físicas y máquinas virtuales con el Arranque seguro habilitado.
Destacamos la nueva corrección en parte porque, a diferencia de muchas correcciones de Windows de alta prioridad, la actualización se desactivará de forma predeterminada durante al menos unos meses después de su instalación y en parte porque eventualmente hará que los medios de arranque actuales de Windows no se puedan iniciar. La solución requiere cambios en el administrador de arranque de Windows que no se pueden revertir una vez que se han habilitado.
“La función de arranque seguro controla con precisión los medios de arranque que pueden cargarse cuando se inicia un sistema operativo, y si esta solución no está habilitada correctamente, existe la posibilidad de causar interrupciones y evitar que un sistema se inicie”, dice uno de varios. Artículos de soporte de Microsoft sobre la actualización.
Además, una vez que se hayan habilitado las correcciones, su PC ya no podrá iniciarse desde un dispositivo de arranque anterior que no incluya las correcciones. Sobre el larga lista de medios afectados: Windows instala medios como DVD y unidades USB creados a partir de archivos ISO de Microsoft; imágenes de instalación de Windows personalizadas mantenidas por los departamentos de TI; copias de seguridad completas del sistema; unidades de arranque de red, incluidas las utilizadas por los departamentos de TI para solucionar problemas de máquinas e implementar nuevas imágenes de Windows; unidades de arranque reducidas que usan Windows PE
No queriendo que los sistemas de los usuarios no se puedan iniciar repentinamente, Microsoft implementará la actualización en fases durante los próximos meses. La versión inicial del parche requiere intervención sustancial del usuario para permitirPrimero debe instalar las actualizaciones de seguridad de May, luego use un proceso de cinco pasos para aplicar y verificar manualmente un par de “archivos de revocación” que actualizan la partición de arranque EFI oculta de su sistema y su registro. Esto hará que las PC ya no confíen en las versiones más antiguas y vulnerables del gestor de arranque.
Seguirá una segunda actualización en julio que no habilitará el parche de forma predeterminada, pero lo hará más fácil para permitir. Una tercera actualización en el “primer trimestre de 2024” habilitará la solución de forma predeterminada y hará que los medios de arranque más antiguos no se puedan iniciar en todas las PC con Windows parcheadas. Microsoft dice que está “buscando oportunidades para acelerar este cronograma”, aunque no está claro qué implicaría eso.
Jean-Ian Boutin, director de investigación de amenazas de ESET, describió la gravedad de BlackLotus y otros bootkits a Ars cuando informamos originalmente al respecto:
Lo último es que el kit de arranque UEFI BlackLotus puede instalarse en sistemas actualizados utilizando la última versión de Windows con el arranque seguro habilitado. Aunque la vulnerabilidad es antigua, aún es posible aprovecharla para eludir todas las medidas de seguridad y comprometer el proceso de arranque de un sistema, dando al atacante control sobre la fase inicial del arranque del sistema. También ilustra una tendencia en la que los atacantes se centran en la partición del sistema EFI (ESP) en lugar del firmware para sus implantes, sacrificando el sigilo para una implementación más sencilla, pero permitiendo un nivel similar de capacidades.
Esta solución no es el único incidente de seguridad reciente que destaca las dificultades de parchear las vulnerabilidades de arranque seguro y UEFI de bajo nivel; El fabricante de computadoras y placas base MSI recientemente filtró sus claves de firma en un ataque de ransomware, y no hay una manera simple para que la compañía le diga a sus productos que no confíen en las actualizaciones de firmware firmadas con la clave comprometida.