Microsoft tardará cerca de 1 año en corregir una vulnerabilidad que afecta al Secure Boot de Windows

por Alex Millà el

Microsoft publica CVE-2023-24932, y la guía de configuración asociada, para abordar una vulnerabilidad de elusión de Secure Boot utilizada por el bootkit BlackLotus para explotar CVE-2022-21894. Los clientes tendrán que seguir de cerca la guía de configuración para protegerse completamente contra esta vulnerabilidad.

Esta vulnerabilidad permite a un atacante ejecutar código autofirmado en el nivel Unified Extensible Firmware Interface (UEFI) mientras Secure Boot está habilitado. Esto es utilizado por los actores de amenazas principalmente como un mecanismo de persistencia y evasión de defensa. El éxito de la explotación depende de que el atacante tenga acceso físico o privilegios de administrador local en el dispositivo objetivo.

Para protegerse contra este ataque, se incluye una corrección para el gestor de arranque de Windows (CVE-2023-24932) en la versión de actualización de seguridad del 9 de mayo de 2023, pero está desactivada por defecto y no proporcionará protección. Los clientes tendrán que seguir cuidadosamente los pasos manuales para actualizar los medios de arranque y aplicar las revocaciones antes de habilitar esta actualización.

Aplicaremos las protecciones en tres fases para reducir el impacto en los clientes y socios industriales con Secure Boot existente mientras se aplica este cambio.

  • 9 de mayo de 2023: Se publica la corrección inicial para CVE-2023-24932. En esta versión, esta corrección requiere la actualización de seguridad de Windows del 9 de mayo de 2023 y acciones adicionales por parte del cliente para implementar completamente las protecciones.

  • 11 de julio de 2023: Una segunda versión ofrecerá opciones de actualización adicionales para simplificar el despliegue de las protecciones.

  • Primer trimestre de 2024: Esta versión final activará la corrección de CVE-2023-24932 por defecto y aplicará revocaciones del gestor de arranque en todos los dispositivos Windows.

¿Por qué está adoptando Microsoft un enfoque gradual para solucionar esta vulnerabilidad?

La función Secure Boot controla con precisión el medio de arranque que se permite cargar cuando se inicia un sistema operativo, y si esta corrección no se habilita correctamente existe la posibilidad de causar interrupciones e impedir que se inicie un sistema. La documentación técnica a la que se hace referencia a continuación proporciona orientación sobre la implementación y las pruebas para limitar el impacto potencial en este momento, y los planes de futuras versiones permitirán a Microsoft simplificar la implementación sin interrupciones.

Siga la Guía de arranque seguro de Microsoft Windows para implementar la corrección para CVE-2023-24932.

¿Cómo saben los clientes si están utilizando Secure Boot?

En el símbolo del sistema de Windows, introduzca msinfo32. Si muestra Secure Boot Estado es ON, el sistema.

Nota: La vulnerabilidad conocida públicamente no presenta ningún riesgo adicional si el arranque seguro no está habilitado, y no se requieren pasos adicionales. Recomendamos a los clientes que utilicen Secure Boot para proteger los sistemas de manipulaciones y exploits de clase bootkit y para mantener sus sistemas al día con las últimas actualizaciones de Windows. Para obtener más información sobre las ventajas de Secure Boot, consulte: Secure Boot y Trusted Boot.

Agradecimiento

Apreciamos la oportunidad de investigar los hallazgos reportados por Tomer Sne-or con SentinelOne y Martin Smolár de ESET que nos ayudaron a endurecer el servicio, y les agradecemos por practicar una investigación de seguridad segura bajo los términos del Programa Bug Bounty de Microsoft. Animamos a todos los investigadores a trabajar con los proveedores en el marco de la Divulgación Coordinada de Vulnerabilidades (CVD) y a respetar las normas de participación en las pruebas de penetración para evitar afectar a los datos de los clientes mientras realizan investigaciones de seguridad.

Referencias:

Post original en inglés